Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Crown copyright 2007 All rights reserved. Material is reproduced with the permission of the Office of
Government Commerce under delegated authority from the Controller of HMSO.
Licensed Product
ITIL is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
The Swirl logo is a Trade Mark of the Office of Government Commerce.
The OGC logo is Registered Trade Mark of the Office of Government Commerce in the United Kingdom.
PRINCE is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
IT Infrastructure Library is Registered Trade Mark of the Office of Government Commerce in the United
Kingdom and other countries.
M_o_R is Registered Trade Mark of the Office of Government Commerce in the United Kingdom and
other countries.
ISBN: 978-84-8143-662-4
Depsito Legal: M-47292-2009
Impreso en Espaa - Printed in Spain
Edita: AENOR
Maqueta y diseo de cubierta: AENOR
Imprime: Xxxxxx
Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra.
Gnova, 6. 28004 Madrid Tel.: 902 102 201 Fax: 913 103 695
comercial@aenor.es www.aenor.es
Este libro est dedicado a todos los
profesionales de tecnologas de la
informacin y las comunicaciones que
abnegadamente han aportado sus
conocimientos y experiencia para la definicin
y difusin de las normas y las mejores
prcticas que marcan el camino
de evolucin de este sector.
Agradecimientos
Este libro recopila las experiencias de profesionales que estn fuertemente involu-
crados en el impulso de las normas y las buenas prcticas internacionales relativas a
la gestin de las tecnologas de la informacin y las comunicaciones.
En la creacin de esta primera edicin del libro han participado:
Direccin de la obra (Telefnica):
Luis Morn Abad Direccin tcnica y contenido final.
Alejandro Prez Snchez Contenido intermedio.
Colaboradores:
Paloma Garca Lpez (AENOR)
Carlos Manuel Fernndez Snchez (AENOR)
Eduardo Mndez Polo (Telefnica)
Jaime Pastor Pastor (Telefnica)
8 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Presentacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Telefnica
Introduccin
Durante la dcada de los aos 50, algunas predicciones futuristas imaginaron que,
para el ao 2000, los coches seran capaces de volar, se ira de vacaciones a Marte, y
que Estados Unidos podra llegar a contar con nada menos que trescientos mil
ordenadores. En 1947 el director de una famosa multinacional del sector predijo
que en el mundo slo habra mercado para 5 ordenadores. Estas predicciones hoy
en da nos parecen ridculas, unas por lo exageradas, y otras por que se han que-
dado muy cortas.
Las tecnologas de la informacin y las comunicaciones han avanzado mucho ms
de lo esperado, pero despus de poblar el mundo de dispositivos de silicio, con
unas capacidades de proceso inimaginables, nos encontramos con un panorama
desalentador:
Equipos que se bloquean.
Sistemas que se caen.
Servicios que se interrumpen.
Atencin al usuario deficiente.
Prdidas de tiempo y de productividad de los usuarios.
Personal tcnico desbordado por llamadas y peticiones de asistencia.
Directores de sistemas de informacin que ven cmo, a pesar del esfuerzo con-
tinuo de su equipo, el roce y el malestar con el resto de la empresa no cesan.
1 Para facilitar la lectura, en el resto del libro se ha optado por utilizar el mismo trmino
ISO/IEC 20000 para referirse a estas normas, tanto para la serie UNE, como para la serie
ISO/IEC.
Introduccin 17
ndice de las Normas ISO/IEC 20000 ndice del libro ISO 20000
7 Procesos de relaciones
7.1 Generalidades
7.2 Gestin de las relaciones con el negocio
7.3 Gestin de suministradores
8 Procesos de resolucin
8.1 Antecedentes
8.2 Gestin del incidente
8.3 Gestin del problema
9 Procesos de control
9.1 Gestin de la configuracin
9.2 Gestin del cambio
10 Proceso de entrega
10.1 Proceso de gestin de la entrega
13 Trminos y definiciones
1.1. Las Normas ISO/IEC 20000 son parte del camino a la excelencia
1.2. Normas, estndares, marcos de referencia y metodologas reconocidas
en el mbito de las TI
1.3. Entender los entornos de normalizacin y certificacin
1.4. Las principales normas y buenas prcticas en TI
0
50
38
BIT
MI CO
CM
0 1
ITIL 2 70
0 00 000
9 20
0
50
38
BIT
MI CO
CM
001
ITIL 27
00 00
90 200
mbito de la empresa
p mbito especfico
p de TI
Calidad
Gestin del Funciones de TI
y medio Empresa Gobierno TI Tecnologa
servicio de TI ((desarrollo,, seg.,
g , etc.))
ambiente
Ticket SPICE
Evaluacin
SAS
ISO/IEC 15504
8000
TQM PPeople
l ISO/IEC
King CMMI for
CMMI 17799 o
COBIT Services
ACC 27002 FEAF
CMMI ISO
ITIL v3
ISO ISO/IEC
CoCo ASL 90003
Tipo de usso
SO 27001
Directrice
DSDM 12207
EFQM 9004 COSO ISO/IEC
ISO ISO/IEC ISPL BS 25999
eTOM 20000 Zachman
14001 (Telcos) 38500 PAS 77
MOF
SAS 70 PMBOK
Lean
CORBA
Prrescriptivo
6 RUP PRINCE2
Sigma XML
TL 9000 SOX
SOA
El veterano marco ITIL destaca como el gran compendio de referencia, que aspira
a convertirse en ese modelo universal que estructura y organiza toda la actividad de
las TI. Si bien la versin 2, publicada en el ao 2000, ha tenido una aceptacin
excepcional, hay que esperar a ver cmo el sector va adoptando la nueva versin 3,
publicada en el ao 2007, y que presenta una visin ms amplia y coherente de la
gestin de las TI, agrupada en torno al ciclo de vida del servicio.
El marco para el desarrollo de software CMMI (Capability Maturity Model Integra-
tion) aparece como el modelo ms aceptado para la medicin de la madurez de los
procesos de gestin en la construccin de aplicaciones. Para complicar ms el pano-
rama, en su ltima versin se crea un nuevo modelo CMMI for Services, que se
superpone en gran medida con el mbito central de ITIL; y por tanto, tambin con
las Normas ISO/IEC 20000. Adems, para los procesos y medicin de la madurez
del desarrollo, tambin la normativa internacional inici desde 1993 su andadura.
ISO e IEC han desarrollado un modelo para la evaluacin de los procesos de desa-
rrollo de software bajo la iniciativa SPICE que ha desembocado en la publicacin
de la serie ISO/IEC 15504. En paralelo, han ido evolucionando otro conjunto de
normas relativas a la ingeniera del software (ISO/IEC 15288, ISO/IEC 12207,
ISO/IEC 25001, ISO/IEC 25030, ISO/IEC 16085, etc.).
26 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Por otra parte, los temas medioambientales tambin tienen su impacto en la ges-
tin de TI. Deben tenerse en cuenta: la legislacin nacional, local y la normativa
sobre retirada y gestin del equipamiento y residuos informticos; la serie de Nor-
mas ISO-EN 14000 relativa a la gestin medioambiental; en Espaa existe tam-
bin la Norma UNE 150002 Sistemas de gestin medioambiental. Gua para la apli-
cacin de la norma UNE-EN ISO 14001:1996 en las empresas de servicios y la gua para
la aplicacin de los sistemas de gestin medioambiental a las relaciones con sumi-
nistradores y clientes, denominada UNE 150004 EX; o el Cdigo de Conducta
para la Eficiencia Energtica en Centros de Datos publicado por la Unin Europea.
Tanta abundancia de informacin y recomendaciones resulta confusa para las orga-
nizaciones que slo desean soluciones prcticas y directas para mejorar su gestin
de las TI.
De todo el mapa anterior, se recomienda centrarse inicialmente en las normas y
marcos de mayor relevancia y ms aceptados para la mejora de TI, como son:
ISO/IEC 20000 partes 1 y 2, e ITIL (en sus versiones 2 y 3) para mejorar la
gestin de los servicios de TI.
COBIT para la auditora y la medicin de las TI.
ISO/IEC 27001 para la gestin de la seguridad de la informacin.
ISO/IEC 15504 y CMMI for Development para la gestin del desarrollo de
software.
ISO/IEC 38500 y COBIT como referencias para el gobierno de las
tecnologas de la informacin.
Normalizacin y acreditacin
Normalizacin internacional Principales iniciativas privadas
segn el pas
Espaa: AENOR - ENAC
ISO CEN OGC Carnegie ITGI PMI
UK: BSI - UKAS
e
IEC CENELEC
Organismos
Alemania: DIN - TV
UIT ETSI Argentina: IRAM
Chile: INN
Mxico: DGN
O
Per: INDECOPI
Australia: SA
Participan comits Participa industria local Participan los lderes y gurs de la industria TI
normalizacin pases itSMF Espaa y GT-25
(en UNE-ISO
UNE ISO 20000) itSMF SEI y ESI
ISO/IEC ISO/IEC
ISO 9001 ISO 27001 ITIL CMMI COBIT PMBOK
20000 20000
ormas
Fuente: Telefnica
Por otra parte, el mbito de las denominadas iniciativas privadas (ITIL, CMMI,
COBIT, etc.) se centra principalmente en el desarrollo de marcos de mejores prc-
ticas y no de normativa. Los procedimientos y la gestin de la representacin del
sector quedan a la libre eleccin de la institucin u organismo que impulsa la ini-
ciativa (OGC, Carnellie Mellon, ITG, etc.). Con frecuencia se basa en una llamada
pblica de participacin para trabajar en la siguiente edicin de estos marcos a la
que suelen responder los principales actores internacionales y gurs en la materia.
El proceso de seleccin del equipo de revisin es especfico de cada institucin, as
como el procedimiento de edicin de la nueva versin del marco de referencia.
Como se puede intuir hay que ser un autentico especialista en la materia para com-
prender los diversos esquemas y estructuras que se han ido creando alrededor de la
normalizacin y marcos de mejores prcticas. Por la vinculacin con la temtica de
este libro se explican los procesos de creacin de las normas ISO/IEC y de las nor-
mas UNE espaolas:
Ciclo de creacin de las normas ISO/IEC. Una norma internacional se desarro-
lla en el mbito de los comits tcnicos y de los subcomits tcnicos de ISO y de
IEC. El proceso sigue seis etapas: propuesta, preparatoria, comit, consulta, apro-
bacin y publicacin. En este proceso, el documento propuesta de norma pasa por
tres estados que indican el grado de aceptacin y apoyo que se va alcanzando de los
diversos borradores:
CD (Committee Draft): es un borrador generado por un grupo de trabajo,
que ha recibido la aprobacin del grupo y se remite al comit correspon-
diente para su aprobacin.
DIS (Draft of International Standard): es el borrador de norma internacio-
nal que el comit de normalizacin ha aprobado y somete a comentarios y
votacin por parte de los pases.
FDIS (Final Draft of International Standard): es el borrador final de la
norma internacional, que el comit enva para su aprobacin final a todos los
miembros para su publicacin final como norma internacional.
aceptar que la nueva norma se cree por el procedimiento de fast-track, para pasar
directamente como DIS a la etapa 4. Normalmente el procedimiento rpido puede
durar un ao, mientras que el normal suele durar entre 2 y 3 aos, dependiendo de
la dificultad de alcanzar el consenso en las diversas etapas.
Ciclo de creacin de las normas UNE espaolas. El proceso de elaboracin de
una norma UNE est sometido a una serie de fases que permiten asegurar que el
documento final es fruto del consenso, y que cualquier persona, aunque no perte-
nezca al comit de AENOR, productor de la norma, pueda emitir sus opiniones o
comentarios. Tras la aprobacin del proyecto final de norma por un Comit Tc-
nico de Normalizacin, el Boletn Oficial del Estado (BOE) publica la relacin
mensual de proyectos UNE sometidos a un perodo de Informacin Pblica,
durante el cual cualquier persona o entidad interesada podr presentar observacio-
nes. Las observaciones deben realizarse a AENOR. Una vez analizados los comen-
tarios recibidos en esta fase, el comit redactar el texto final, que ser aprobado y
publicado como norma UNE por AENOR.
En la figura 1.3 se representan las etapas de estos dos ciclos, internacional y nacional.
Los gobiernos
Es importante destacar el papel activo de los gobiernos, instituciones gubernamen-
tales y administraciones pblicas en el campo de la normalizacin, pues desempe-
an un triple papel: como sustento de la actividad de normalizacin mediante sub-
venciones a los organismos de normalizacin, como impulsores de algunas
iniciativas destacadas, y en su papel de exigir el cumplimiento de la normativa, bien
estableciendo una regulacin o bien en su papel de cliente contratante de servicios
al sector de las TIC.
Entre estos organismos destacan el Ministerio de Comercio Britnico (OGC, Office
of Government Commerce) en su papel de creador, impulsor y propietario de ITIL y
el Departamento de Defensa de Estados Unidos (DoD, Departament of Defense)
como impulsor de CMMI.
Organismos de acreditacin
Las entidades nacionales de acreditacin son entidades independientes cuya fun-
cin es la acreditacin de entidades certificadoras y laboratorios de ensayo. Es decir,
0
50
38
BIT
MI CO
CM
001
ITIL 27
00 00
90 200
Normalmente, los certificados locales emitidos por las entidades certificadoras van
acompaados de el reconocimiento internacional de IQNet.
Entidades certificadoras
Para que las empresas puedan demostrar a nivel nacional e internacional que cum-
plen las normas, necesitan un certificado. Se trata de un instrumento para verificar
la correcta implantacin de las normas.
La obtencin del certificado se realiza mediante un proceso de evaluacin indepen-
diente por parte de una entidad certificadora o de certificacin. Un requisito
importante que asegura la solvencia para que una entidad pueda conceder una
marca de certificacin es que dicha entidad sea competente para certificar los
productos, los servicios, los sistemas de gestin o las personas, a los que se aplica la
marca de certificacin.
Los organismos de acreditacin son los encargados de acreditar a las entidades de
certificacin. Las entidades de certificacin utilizan los servicios profesionales
de los auditores.
34 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Marcas de certificacin
Las marcas de certificacin las conceden las entidades correspondientes a los pro-
ductos, sistemas y servicios que cumplen con los requisitos definidos.
La certificacin, en base a normas, tiene su reflejo en los distintivos de certifica-
cin, cuya concesin significa que el producto o servicio ha pasado por el adecuado
proceso de certificacin de forma satisfactoria. Cuando, por ejemplo, se trata de
una marca de seguridad, la concesin de la marca significar que cumple los requi-
sitos de seguridad, segn la norma de referencia.
En un producto con certificado de calidad, la etiqueta puede contener distintos
logotipos (vase la figura 1.4) dependiendo de la entidad que otorgue el certificado.
Auditores
Los auditores son los nicos profesionales acreditados para realizar la auditora del
cumplimiento de los requisitos de una norma por una organizacin. La calificacin
de auditor se concede nicamente a los candidatos que demuestren experiencia
suficiente y hayan pasado los exmenes exigidos para ello.
0
50
38
BIT
MI CO
CM
001
ITIL 27
00 00
90 200
Consultores
Los consultores asesoran, bien a las organizaciones o entidades que quieren
implantar las normas, o bien, una vez implantadas, que desean certificarse. Para
esta funcin existe una acreditacin profesional especfica. La formacin que reci-
ben les permite adquirir un nivel suficiente de conocimiento de la normas, del
esquema de certificacin y de su aplicacin.
Los consultores asisten a las organizaciones en la interpretacin y aplicacin de la
normas, as como, para la aplicacin efectiva de ISO/IEC 20000 en la gestin del
servicio. Asimismo, el consultor externo puede efectuar una evaluacin de los nive-
les de gestin del servicio y establecer el nivel de preparacin necesario para una
solicitud de certificacin y su posterior consecucin.
Actualmente, existe una acreditacin de consultor ISO/IEC 20000 otorgada por enti-
dades de formacin acreditadas por UKAS e itSMF-UK. Otros organismos que regu-
lan la formacin profesional (EXIN, APMG) tambin estn entrando en este campo.
ITIL v0:
Service Level
Management
ITIL v2 se ha utilizado como base para la creacin de las Normas ISO/IEC 20000.
En la figura 1.7, se muestra una representacin tpica de ITIL v2. En ella se puede
apreciar el negocio a la izquierda del todo, en el extremo derecho se sita la tecno-
loga, y, en medio, haciendo que la tecnologa sea til para el negocio estn los pro-
cesos ITIL. De ellos, los dos libros ms valiosos por su contenido y ms aceptados
por el mercado son los relativos a la gestin de servicio (libros Soporte de Servicio y
Provisin de Servicio publicados por OGC).
Diseo
del servicio
Estrategia
del servicio
del servicio
Operacin
ITIL v3
n
s ici icio
an rv
Tr l se
de
Mejora
del servicio
Fuente: Libro ITIL Estrategia del Servicio publicado por OGC y e.p.
MEJORA
ESTRATEGIA DISEO TRANSICIN OPERACIN
CONTINUA
os
iesg
inis
Fuente: ISACA.
ISO/IEC 17799 (que pasar a ser denominada ISO/IEC 27002) recoge un cdigo
de buenas prcticas para la gestin de la seguridad de la informacin. Se centra en
desarrollar los objetivos de control de la seguridad, y para cada uno de ellos, se
indica una gua para su implantacin. Cada organizacin debe considerar cuntos
sern realmente los aplicables segn sus propias necesidades.
CMMI
for Services
CMMI
Foundation
16 reas
de proceso
CMMI for CMMI for
comunes
Development Acquisition
para el desarrollo de aplicaciones (CMMI for Development), otra para las adquisi-
ciones (CMMI for Adquisition) y una nueva para la prestacin de servicios (CMMI
for Services).
CMMI describe cinco etapas evolutivas (niveles) en las cuales una organizacin se
sita segn la madurez de sus procesos:
1. Inicial (Initial). Los procesos son caticos; pocos procesos estn realmente
definidos.
2. Repetible (Repeatable). Se establecen los procesos bsicos y se observa cierto
nivel de disciplina respecto a ellos.
3. Definido (Defined). Todos los procesos estn definidos, documentados, nor-
malizados e integrados.
4. Gestionado (Managed). Los procesos se miden recogiendo datos detallados
de los mismos.
5. En optimizacin (Optimizing). La mejora de los procesos es continua y pro-
porciona nuevas ideas y oportunidades.
Con la publicacin en Marzo del 2009 de CMMI for Services, el SEI tambin entra
en el mbito de la gestin del servicio, con bastante solape con ITIL e ISO/IEC
20000. En la figura 1.13 se muestran los procesos de este nuevo modelo.
0
50
38
BIT
MI CO
CM
001
ITIL 27
00 00
90 200
Fuente: SEI.
Procesos cliente-proveedor
Procesos de ingeniera
Procesos
Procesos de proyecto
de soporte
Procesos de organizacin
Fuente: SPICE.
Las Normas UNE-ISO/IEC 20000 son las traducciones al castellano de las ante-
riores ISO/IEC, estn formadas por dos partes publicadas como documentos inde-
pendientes:
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 1: Especificaciones. Contiene los requisitos exigibles para cum-
plir con la norma. Por ello, el verbo de sus frases suele contener un debe,
indicando que el requisito tiene que ser satisfecho para ser acorde con la
norma.
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del
servicio. Parte 2: Cdigo de buenas prcticas. Esta parte contiene a veces una
extensin o detalle de los requisitos de la parte 1, mientras que en otras oca-
siones se desarrollan los requisitos con ms profundidad. La parte 2, utiliza
el condicional debera, que se interpreta como una recomendacin para
satisfacer el requisito de la parte 1, pero quizs no la nica.
Dada la equivalencia entre estas normas ISO/IEC (en ingls) y las normas UNE
(en castellano), a partir de ahora en el libro se utilizar nicamente el trmino
ISO/IEC 20000 para ambas normas.
En la figura 2.1 se muestran los objetivos de cada una de las partes de estas normas
frente al alcance ms amplio del presente libro.
Figura 2.1. Las dos partes de las Normas ISO/IEC 20000 y su reflejo en
el presente libro
Fuente: Telefnica.
Si realizsemos un esquema que reflejara toda la actividad llevada a cabo en TI, las
funciones y los recursos tecnolgicos, tendramos:
Para coronar el esquema, en la parte ms alta, se definiran las actividades de
gobierno de TI: estrategia, alineacin con el negocio, etc.
Por debajo de ellas estaran los procesos de gestin del servicio de TI.
En el siguiente nivel se situaran los equipos que constituyen las fuerzas de
trabajo de TI: con la operacin, funciones tcnicas, el desarrollo de software,
y el resto de especialidades y conocimientos tecnolgicos
A continuacin, aparecera la capa de herramientas: de soporte a la gestin,
de administracin tcnica, de monitorizacin, etc., es decir, las herramientas
que hacen que la actividad sea ms fluida y controlada.
Por ltimo la capa en la base del esquema, que alojara la tecnologa: siste-
mas, aplicaciones e infraestructura de TI (tecnologa suministrada por los
fabricantes, comunicaciones, edificios para alojarlos, etc.)
En este esquema las normas se posicionaran sobre el rea de la gestin del servicio,
debido a su carcter organizacional y de gestin. En la figura 2.3 se muestra el
esquema con todo su detalle.
58 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
El servicio
La orientacin al cliente
ISO/IEC 20000
La comunicacin interna
Los procesos internos
Tarea 1
Tarea 2
Control Mecanismos
(actividades de evaluacin)
Indicadores Recursos
y KPI
Roles
Propietario Objetivos
Herramientas
del proceso del proceso
Segn indica la Norma UNE-EN ISO 9001, una ventaja del enfoque basado en
procesos es el control continuo que proporciona sobre los vnculos entre los proce-
sos individuales dentro del sistema de procesos, as como sobre su combinacin e
interaccin. Un enfoque de este tipo, cuando se utiliza dentro de un sistema de ges-
tin de la calidad, enfatiza la importancia de:
a) La comprensin y el cumplimiento de los requisitos.
b) La necesidad de considerar los procesos en trminos que aporten valor.
c) La obtencin de resultados del desempeo y eficacia del proceso.
d) La mejora continua de los procesos con base en mediciones objetivas.
Las Normas ISO/IEC 20000 definen una capa de procesos de TI que aglutina las
principales actividades para que los servicios se provean y presten segn las exigencias
62 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
del negocio. Esta capa de procesos se utiliza por la organizacin tradicional de TI,
garantizado que estas actividades esenciales se ejecuten de la forma definida. Para
facilitar el trabajo es necesario implantar un conjunto de herramientas de soporte a
la ejecucin de los procesos (capa de herramientas). Por tanto, la implantacin de
las normas no requiere necesariamente cambiar la estructura organizativa. Aunque
s ser necesaria la definicin detallada de los procesos y de los roles o funciones
especficos, que garanticen que son efectivos. En la figura 2.6 se representan la capa
de procesos ISO/IEC 20000 y la capa de herramientas como instrumentos al servi-
cio de la organizacin de TI y de sus equipos de trabajo.
Fuente: Telefnica.
CIO
F1 F2 F3
P1
P2
P3
F: funciones o departamentos
P: procesos
Fuente: Gartner.
de cmo aplicar una parte de un proceso. Desarrolla las actividades y tareas que for-
man un proceso, e incluye una descripcin detallada de cada una de ellas.
Un proceso describe qu hay que hacer y un procedimiento cmo hay que
hacerlo en una situacin concreta. Por ejemplo, un proceso puede establecer que
hay que registrar el incidente en la herramienta de gestin de incidentes, y el proce-
dimiento indicar los pasos a dar en la herramienta concreta de gestin de inciden-
tes, qu hay que poner en cada campo, etc.
La mayor parte de las organizaciones suele completar sus procedimientos con ins-
trucciones de trabajo complementarias, ms detalladas que los procedimientos,
cuyo objetivo es describir, hasta los ltimos detalles necesarios, las tareas descritas
en los procedimientos. Una instruccin de trabajo puede elaborarse en el caso de
que haga falta ms detalle en un procedimiento, por ejemplo, cuando roles distin-
tos tienen instrucciones de trabajo distintas dentro del mismo procedimiento.
Por tanto, procesos, procedimientos e instrucciones de trabajo tienen como finali-
dad primordial ser utilizadas por el personal en la realizacin diaria de su trabajo.
En el caso concreto de los procesos de gestin de TI, todos los procesos se deben
formalizar, pero la experiencia demuestra que no en todos ellos es productivo bajar
al nivel de detalle de procedimiento o de instruccin de trabajo. En general, ser
til poner nfasis en detallar aquellos procesos en los que:
Se ve involucrado mucho personal.
Se deben engranar un conjunto de actividades, subprocesos y tareas com-
plejos.
Es necesaria una automatizacin minuciosa.
Tpicamente, los procesos que tienen un flujo extenso, y que convendr detallar,
son: la gestin del incidente (y la gestin de la peticin del usuario), la gestin del
cambio, la gestin de la entrega y la gestin de suministradores. Ms all del
alcance de estas normas, ser necesario bajar a nivel del procedimiento en: la ope-
racin, la gestin del evento o la gestin del acceso. En el resto de procesos, para la
mayora de las organizaciones, detallarlos no aportar un valor adicional.
Sistema de Gestin del Servicio de TI (SGSTI)
UNE-ISO/IEC 20000-1
Esta parte de la Norma ISO/IEC 20000 define los requisitos para que un proveedor
del servicio proporcione servicios gestionados de una aceptable calidad a sus clientes.
Puede ser usada:
a) para negocios que solicitan ofertas para sus servicios;
Nota 1: El trmino negocio en esta norma internacional debera interpretarse en un sentido
amplio, abarcando aquellas actividades que son esenciales para alcanzar los fines que
persigue la organizacin.
b) para negocios que requieren de un enfoque consistente por parte de todos sus
proveedores del servicio en la cadena de suministro;
c) por proveedores del servicio para medir y comparar su gestin del servicio
de TI;
d) como base de una evaluacin independiente;
e) por una organizacin que necesite demostrar su capacidad para proveer
servicios que cumplan con los requisitos de los clientes; y
f) por una organizacin que busque mejorar los servicios, mediante la aplica-
cin efectiva de los procesos para monitorizar y mejorar la calidad de los
servicios.
En relacin a la estructura y tamao del proveedor de TI, debemos indicar que los
requisitos de la norma son totalmente independientes de la estructura de la organi-
zacin o tamao de la misma. Aunque, cuanto mayor sea el tamao del proveedor
o la complejidad de los servicios, mayores beneficios se podrn obtener de la apli-
cacin de la norma. Un proveedor de servicio debe utilizar la organizacin que le
sea ms apropiada, segn su negocio, su cultura y su estrategia.
Para entender claramente el alcance de estas normas se debe comprender el signifi-
cado que se otorga a dos conceptos: servicio de TI y proveedor de TI.
66 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El correo electrnico.
El sitio web de la empresa.
El portal web interno de la empresa (la intranet).
El servicio de ERP (Enterprise Resource Planning) de una empresa.
El servicio de alojamiento de aplicaciones o portales web.
El servicio de alojamiento de servidores ofrecido por un Internet Center.
El servicio de facturacin.
El servicio de gestin del conocimiento.
El servicio de colaboracin.
Servicios de TI
Negocio
Gestin Acceso en
de clientes teletrabajo
Gestin Provisin y
de ventas soporte del
Gestin de Correo
Gestin de puesto de trabajo
facturacin electrnico
actuaciones
De forma clara, estas normas se refieren a los servicios que se prestan utilizando
como base los sistemas informticos. Esta concepcin de servicio no quiere decir
que no se puedan aplicar las directrices y recomendaciones a otro tipo, pero su apli-
cacin habr que matizarla e interpretarla, como es el caso de los servicios de las
operadoras de telecomunicaciones. Pero hay otros casos que no estn en el alcance,
aunque tambin se denominan servicios, como por ejemplo: la prestacin de servi-
cios de consultora, la venta de equipamiento informtico, etc. En la figura 2.9 se
muestra la simbologa utilizada en el libro para estos dos omnipresentes conceptos.
Servicio de TI Proveedor de TI
Por otra parte, es importante tener en cuenta el punto en el que se est situado en
la cadena de provisin para determinar si tal o cual actividad es un servicio ofre-
cido, o bien, es un servicio contratado. Un rea interna de una empresa ofrece ser-
vicios a los usuarios de la misma, pero a su vez, contrata servicios al mercado (el
centro de tele-atencin, el alojamiento de sus equipos en un centro de proceso de
datos de un tercero, los servicios de telecomunicaciones, etc.). As, en la posicin
del rea interna de TI, sta ofrece servicios a sus usuarios y clientes, y contrata otros
servicios a los proveedores externos o internos.
Bajo la perspectiva de estas normas, el trmino servicio se utiliza para referirse al
prestado por la organizacin a la que se aplica la norma.
UNE-ISO/IEC 20000-2
Servicio de TI
Cliente del
Cliente de TI negocio
Grandes
clientes
Parece que los autores de ISO/IEC 20000 e ITIL (v2 y v3) suelen coincidir en
cules son los procesos bsicos para la gestin de las TI. As, estos diferentes
marcos de referencia tienen un ncleo con procesos bastante similares (inci-
dente, problema, configuracin, cambio, entrega, nivel de servicio, disponibili-
dad, continuidad, capacidad y financiero). En cambio, a la hora de realizar la
agrupacin conceptual de estos procesos, es donde los autores han dejado volar
su creatividad, proponiendo en sus modelos agrupaciones dispares. Por suerte,
estas diferentes agrupaciones son conceptuales y no tienen reflejo en el conte-
nido de los procesos que se han de aplicar. En el caso de las Normas ISO/IEC
20000, la agrupacin tiene su lgica y es razonable (agrupaciones: provisin del
servicio, control, entrega, resolucin y relaciones), pero distinta a lo establecido
en ITIL v2 (libros: soporte de servicio, provisin de servicio, gestin infraes-
tructuras, etc.) y distinto ITIL v3 (libros: estrategia, diseo, transicin, opera-
cin y mejora continua). As, se agrupan bajo la provisin de servicio procesos
distintos a los contemplados en ITIL v2 en su libro de provisin de servicio. En
ITIL v3 la agrupacin se hace en funcin del ciclo de vida del servicio. Con
independencia de la agrupacin de procesos que se realice, individualmente hay
un ncleo comn (gestin del incidente, gestin del problema, gestin de la
configuracin, etc.).
Los primeros apartados en estas normas estn centrados en inculcar en TI las ense-
anzas aprendidas implantando y mejorando sistemas de gestin en todo tipo de
organizaciones. Por ello, los captulos 3 y 4 se centran en: el sistema de gestin TI
y en la planificacin e implementacin de la gestin del servicio.
Prcticamente, el resto de estas normas se dedica a la definicin de los procesos,
agrupados en: Planificacin e implementacin de servicios, nuevos o modificados;
Procesos de provisin de servicio; Procesos de relacin; Procesos de resolucin;
Procesos de control y Proceso de entrega.
En el esquema de la figura 2.11 se muestra el modelo bsico utilizado en este
libro y en las normas para representar todo el alcance de la gestin del servicio de
TI. En el rectngulo exterior se sita el sistema de gestin del servicio de TI (que
se explica en el captulo 3). Hacia el interior del rectngulo aparece de forma
inmediata las actividades de implantacin del sistema de gestin (tratadas en el
captulo 4). Una vez establecido el sistema que gestionar el servicio, su implan-
tacin y mejora, se incorporan los 14 procesos establecidos en ISO/IEC 20000
(tratados en los captulos de 5 al 10). Esta figura se utilizar de ndice grfico en
todo el libro.
Las Normas ISO/IEC 20000 se componen de un conjunto de procesos que inter-
actan entre s y que son necesarios para la prestacin de un servicio con el obje-
tivo de normalizar la gestin de los sistemas de informacin mediante procesos
72 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En las normas, para cada fase del ciclo PDCA se establecen los requisitos y reco-
mendaciones a seguir por todo proveedor de TI.
Procesos de provisin de servicio. Regulan las actividades necesarias para que los
servicios cumplan los cometidos pactados con el negocio. Cobran especial relevan-
cia frente a la necesidad de prestar servicios de TI de calidad, alineados a los objeti-
vos del negocio, que cubran las necesidades actuales y que deben ser capaces de
evolucionar rpidamente para cubrir las necesidades futuras. En estas normas, la
provisin de servicio aglutina 6 procesos:
Proceso de gestin de nivel de servicio.
Proceso de generacin de informes del servicio.
Proceso de gestin de la continuidad y disponibilidad del servicio.
Proceso de elaboracin de presupuesto y contabilidad de los servicios de TI.
Proceso de gestin de la capacidad.
Proceso de gestin de seguridad de la informacin.
74 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
S S S
servicio
Elaboracin de presupuestos y contabilidad
S S S
de los servicios de TI
Gestin de la capacidad S S S
Gestin de la seguridad de la informacin S S S
Gestin de las relaciones con el negocio S En gest. nivel servicio
Gestin de suministradores S (2) S
Gestin del incidente S S S
Gestin del problema S S S
Gestin de la configuracin S S S
Gestin del cambio S S S
Proceso de gestin de la entrega S S S
(1)
En ITIL v3 la creacin de nuevos servicios est embebida en el concepto de ciclo de vida del servicio.
(2) En ITIL v2 la gestin de suministradores se trata en el libro ITIL Business Perspective publicado por OGC.
El trmino sistema de gestin proviene del ingls management system que repre-
senta un modo o forma de gestionar, o una manera formalizada de realizar las
cosas. As, IT management system o el sistema de gestin de TI correspondera
a una forma normalizada para gestionar los trabajos que se realizan en TI, se
corresponde a la forma de hacer, trabajar y gestionar. La abreviatura que se ha acu-
ado para el sistema de gestin de TI es SGSTI (Sistema de Gestin del Servicio
de TI). Es frecuente encontrar otras siglas relacionadas con este concepto, como
son: SGC (Sistema de Gestin de la Calidad), SGS (Sistema de Gestin de Servi-
cios) o SMS (Service Management System).
Se entiende el sistema de gestin de TI como el propio modelo de hacer o trabajar
en TI. Lo que cotidianamente se expresa como vamos a implantar ITIL, vamos a
implantar ISO/IEC 20000, hay que hacer un proyecto para mejorar los servicios
de TI, esta es nuestra forma de trabajar en esta casa, el departamento de infor-
mtica se gestiona en base a estos procedimientos, etc. todas ellas son maneras de
expresarse en TI y expresan de alguna forma el concepto de sistema de gestin
de TI utilizado en los mbitos de calidad. Por tanto, siendo como es la esencia de
ISO/IEC 20000 o ITIL, este sistema se define, se implanta y se mejora.
Quiz lo que ms despista a los profanos es el trmino sistema pues, inconscien-
temente, parece que induce a pensar en una herramienta o algo parecido, pero no
es slo esto. El sistema de gestin recoge la nueva forma de trabajar, de relacionarse
y de prestar servicios en TI. Si este sistema se ha creado siguiendo los principios,
los procesos y los requerimientos especficos para TI establecidos en las Normas
ISO/IEC 20000, habremos constituido el sistema de gestin de TI o SGSTI.
Desde la perspectiva de los elementos que lo componen, el sistema de gestin se
definira como: el conjunto de polticas, procesos, procedimientos e instrucciones
de trabajo, necesarios para la correcta gestin del servicio de TI.
Desde una perspectiva integral del proveedor de TI, el sistema de gestin se vera
como: el conjunto de elementos interrelacionados de una organizacin de tecno-
logas de la informacin por los cuales se lleva a cabo de forma normalizada su acti-
vidad de servicio en la bsqueda de la satisfaccin de sus clientes. Adems, el con-
cepto de sistema de gestin conlleva que las actividades se normalicen en procesos
y que todos los procesos trabajen conjuntamente de una manera coordinada y con
un objetivo comn, evitndose pasar de una estructura de departamentos estancos
a otra de procesos inconexos.
Con independencia de la definicin utilizada, el objetivo y alcance del sistema de
gestin es el mismo.
A partir de ahora, el mundo tcnico debe asumir como parte de su da a da este nuevo
concepto de sistema de gestin de TI o SGSTI, que equivale a gestionar el servicio
SGSTI
Fuente: Telefnica.
Tambin hay que entender que estas normas y marcos de referencia del mercado
(ISO/IEC 20000, ITIL, etc.) aportan directrices y recomendaciones; pero no son
utilizables, como tal, directamente en la empresa. Requieren concretarse en proce-
sos y procedimientos, que son los instrumentos sobre los que se articula la gestin
de la actividad. Adems, para que sean de verdad tiles, la aplicacin de todos estos
estndares debe adaptarse a las particularidades de cada empresa (tamao, negocio,
cultura, estrategia, etc.).
Por ello, todo proveedor u organizacin de TI debe crear su propio sistema de ges-
tin que tenga en cuenta cmo adaptar las normas a todas las particularidades pro-
pias de cada empresa.
86 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Tecnologas de la informacin
Gestin y operacin
SG de otras reas
del servicio de TI
de la empresa
SGSTI
Gestin servicio
Calidad y y su prestacin
mejora continua
ITIL
ISO 9001
ISO 20000
Implicacin
de la direccin
AR PARA
S LDERES
SGSTI
Documentacin Cambio cultural
Responsabilidades de la direccin
La mejora de los servicios de TI pasa por implantar los procesos que forman el sis-
tema de gestin de TI en todo su detalle. Este enfoque en torno a los procesos va a
suponer la introduccin de cambios sustanciales, tanto desde el punto de vista cul-
tural en la forma de trabajar de las personas como, en algunos casos, profundos
cambios organizativos. Ante esta transformacin de TI (o del proveedor de servi-
cio de TI en terminologa de la norma) resulta imprescindible contar con el apoyo,
compromiso y participacin de la alta direccin de la empresa y de TI, como dina-
mizadora esencial de todo este proceso.
En lneas generales, las empresas tienen sus grupos internos (calidad, procesos, de
mejora, explotacin, etc.) que frecuentemente inician por si mismas las actividades
SGSTI
UNE-ISO/IEC 20000-1
f) gestionar los riesgos para la organizacin de la gestin del servicio y para los
servicios; y
g) llevar a cabo revisiones de la gestin del servicio, a intervalos planificados,
para asegurar la continuidad de su idoneidad, su adecuacin y su efectividad.
UNE-ISO/IEC 20000-2
El papel de la direccin para asegurar todos los niveles del plan de gestin del
que las mejores prcticas son adoptadas servicio.
y mantenidas en los procesos es funda- El rol de responsable senior debera
mental para cualquier proveedor del estar al frente de los recursos designa-
servicio que quiera cumplir con los requi- dos para las actividades de mejora del
sitos de la Norma ISO/IEC 20000-1. servicio, bien sean actividades conti-
Para asegurar el compromiso de la nuas o con un enfoque de proyecto.
direccin se debera identificar un res- El responsable senior debera estar apo-
ponsable a nivel de alta direccin como yado por un grupo encargado de la
responsable de los planes de gestin del toma de decisiones que tenga la sufi-
servicio. Este responsable senior debe- ciente autoridad para definir la poltica
ra responsabilizarse de la entrega a y para hacer cumplir sus decisiones.
Requisitos de la documentacin
Para que el sistema de gestin sea eficaz es necesario dar respuesta a dos aspectos
clave. El primero de ellos es definir y documentar adecuadamente las actividades,
funciones y responsabilidades que deben desempearse. El segundo es contar con
la participacin activa y efectiva del personal implicado en el servicio.
El primer paso de cara a implantar un sistema de gestin es crear una estructura
documental. Permite llevar registro y control de todas las actividades realizadas,
evaluar la eficiencia del sistema y servir para la toma de decisiones sobre acciones
correctivas o preventivas. Todas las actividades desarrolladas deben documentarse.
A este respecto estas normas establecen:
UNE-ISO/IEC 20000-1
Los proveedores del servicio deben facilitar documentos y registros para asegurar
una planificacin, operacin y control de la gestin del servicio efectivas. Esto debe
incluir:
a) polticas y planes de la gestin del servicio documentados;
b) acuerdos del nivel de servicio documentados;
c) procesos y procedimientos documentados requeridos por esta norma; y
d) registros requeridos por esta norma.
Los soportes en los que est recogida la documentacin deben ser los adecuados
para permitir un normal funcionamiento del sistema. Por ejemplo, si nuestra orga-
nizacin recibe mensualmente 1.000 incidentes, no pueden quedar registrados ni-
camente en un cuaderno. Debern registrarse en una herramienta informtica
dimensionada de acuerdo a las necesidades del proceso y de la organizacin.
La documentacin del sistema contribuye a:
Lograr la conformidad con los requisitos del cliente y la mejora de la calidad.
Proveer la formacin adecuada.
92 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La repetibilidad y la trazabilidad.
Proporcionar evidencias objetivas.
Evaluar la eficacia y la adecuacin continua del sistema de gestin de servi-
cios de TI.
Para gestionar de una forma eficaz la documentacin del sistema es necesario ela-
borar un procedimiento que diga cmo y quin crea los documentos, los revisa,
aprueba, mantiene y elimina.
Fuente: Telefnica.
Como es lgico, los contenidos del sistema de gestin se deben alojar en una herra-
mienta de soporte documental que permita una gestin de versiones y un control
de los cambios a los contenidos.
El manual del SGSTI es el documento principal que recoge la estrategia de la
empresa, la estructura, responsabilidades, actividades, recursos, modelo de proce-
sos, etc., que una organizacin establece para llevar a cabo la gestin de los servi-
cios de TI. Fsicamente puede ser un nico documento o una estructura documen-
tal basada en versiones.
El manual de procesos y procedimientos del SGSTI contiene la definicin espec-
fica de todos los procesos, procedimientos e instrucciones de trabajo que aseguren
la adecuada gestin de servicios de TI. Nuevamente, la denominacin de manual
no quiere decir que sea un documento nico, pues estar formado por un conjunto
completo de documentos. Pero, eso s, con un adecuado control de versiones. El
manual del SGSTI nos dice: qu? y quin?; mientras que el manual de procedi-
mientos indica: cmo? y cundo?
La definicin de los procesos es una de las principales actividades para el cambio
en el proveedor de TI. Para la definicin de procesos se recomienda la utilizacin
de una herramienta especfica de diagramacin con soporte para poder describir su
contenido. En la figura 3.7 se muestra un ejemplo de la estructura documental para
definir un proceso.
Cuando sea necesario especificar en detalle una actividad o una tarea se utiliza el
documento denominado instruccin de trabajo, que describe la forma en la que
se debe realizar un trabajo. En la figura 3.8 se muestra el ejemplo del contenido de
una de ellas.
SGSTI
1. Introduccin
Objetivo del documento. Documentos
de referencia.
3. El proceso en detalle
Diagrama de flujo del proceso.
Diagrama de flujo de los subprocesos.
Diagrama de flujo de las actividades.
Detalle de cada actividad y E/S.
Relaciones con otros procesos.
4. Roles y responsabilidades
Roles y sus responsabilidades.
Matriz RACI.
8. Anexos
Fuente: Telefnica.
Figura 3.7. Ejemplo del ndice del documento para la definicin de un proceso
96 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
1. Introduccin.
2. Objeto.
3. Campo de aplicacin.
4. Documentos relacionados.
5. Definiciones.
6. Pautas de implantacin.
7. Prioridad de los incidentes.
8. Tabla de prioridades.
9. Lista de umbrales basada en prioridades.
10. Categora de un incidente.
Las evidencias son cualquier documento o prueba que proporcione una demostra-
cin objetiva del cumplimiento de las normas por el proveedor de TI. Las eviden-
cias se obtienen de los registros y de cualquier otra forma que permita probar que
se cumplen los requisitos (por ejemplo, un documento, una comprobacin, etc.).
En relacin a las evidencias, ISO/IEC 20000-2 indica:
UNE-ISO/IEC 20000-2
Los registros estn ligados al control de la actividad de TI, mientras que las eviden-
cias se utilizan directamente para la certificacin y las auditoras.
la forma de trabajar de las personas que componen TI y la forma en que estas sienten
cul es su misin en la organizacin. El cambio se orienta hacia una sistemtica de
trabajo estructurada, centrada en los clientes, basada en procesos y articulada en
torno a servicios.
Para que esta transformacin se pueda llevar a cabo, hay que poner la mxima aten-
cin y esfuerzo en el equipo humano que est involucrado en los servicios. Pues es
este conjunto de personas el que debe evolucionar sus formas de hacer hacia los
esquemas estandarizados por el mercado.
Por lo tanto, para conseguir una eficaz implantacin del sistema de gestin, es
necesario llevar a cabo la adecuada gestin de los recursos humanos. Para ello,
debemos responder a tres preguntas:
Cules son las necesidades en cuanto a roles y funciones que requiere el sis-
tema de gestin?
Qu perfiles existen dentro la organizacin?
Cmo se va a cubrir el posible desfase entre ambos aspectos?
Para responder a estas preguntas ISO/IEC 20000-1 establece los siguientes requi-
sitos:
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Como no poda ser de otra forma, ISO/IEC 20000-2 hace especial hincapi en
el desarrollo profesional y de las competencias de las personas que forman parte
de TI:
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
En la figura 3.9 se muestra una situacin que es frecuente encontrar en las empre-
sas ms avanzadas. En esta primera etapa de evolucin en las formas de gestin de
las TI, se incorporan las normas ms relevantes: para la gestin de sistemas, para el
desarrollo, para la seguridad y para el gobierno de las TI.
El SGSTI debe unificar, incorporndolos, los sistemas de gestin en el mbito de
TI que posiblemente se estn implantando o ya se hayan implantado.
Dado que el entorno normativo est en frentica ebullicin, el sistema de gestin
de TI se debera ir enriqueciendo con aquellos avances normativos que contribu-
yan a la mejora del proveedor de TI, con el fin de implantar en el quehacer coti-
diano de TI la riqueza de las formas de hacer de todos estos estndares. As, la gestin
de todo proveedor de TI se construir tomando en cuenta todos los estndares de
mayor relevancia para tener una gestin de las TI completamente madura (denomi-
nado aqu como: SGSTI++), como se muestra en la figura 3.10.
Despus de esta visin al futuro, conviene dejar claro que en el caso de las Normas
ISO/IEC 20000 slo se exige que se cumpla con los requisitos especificados en
ellas y no se requiere que se incorporen todos los otros estndares mencionados
anteriormente.
En los captulos siguientes del libro se profundiza en los 14 procesos definidos en
estas normas, que son la base para la trasformacin de las actividades ms esencia-
les del proveedor de TI.
SGSTI
SPICE ISO
ISO 9001 COBIT ITIL ISO 17799
15504
CMMI for
ISO 9004 ISO 38500 ISO/IEC 20000 ISO 27001
DEV
ISO 90003
Resumen
La aportacin principal de un sistema de gestin es el orden y la estandarizacin.
As, toda la organizacin trabaja de la misma forma y con el mismo idioma. Todo
ello contribuye en la consecucin del objetivo que tiene este sistema de gestin:
hacer posible una efectiva gestin e implantacin de todos los servicios de TI.
El objetivo de este sistema de gestin es conseguir que la provisin y prestacin de
los servicios de TI se realice de una manera eficaz y eficiente.
En la figura 3.11 se recoge una visin completa del SGSTI y su relacin con el da
a da del proveedor de TI.
Fuente: Telefnica.
Fuente: Telefnica.
Beneficios
Implantar la gestin de los servicios de TI, utilizando los conceptos y rigor impues-
tos por el sistema de gestin, aporta importantes ventajas a la organizacin de TI:
Formaliza en la organizacin la implantacin de la gestin del servicio.
Propone una aproximacin estructurada de lo general (estrategia y polticas)
a lo particular (procedimientos).
Da soporte a una implantacin por etapas, extendida en el tiempo.
Impone rigor en la definicin, en el seguimiento y en la captura de registros
y evidencias.
Permite la alineacin con los sistemas de gestin de la calidad (ISO 9001)
de la empresa.
Genera un sistema documental en el que se recoge formalmente toda la
informacin necesaria para soportar el modelo de gestin.
La gestin documental que lo soporta es una pieza imprescindible para obte-
ner la certificacin ISO/IEC 20000.
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Sabe qu sistemas de gestin hay implantados en su empresa u
organizacin?
Qu aporta un sistema de gestin a las organizaciones de TI?
Cul es la diferencia entre el Sistema de Gestin del Servicio de TI
(SGSTI) y el modelo de procesos ISO/IEC 20000?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
4
Captulo 4
Planificacin e
implementacin de
la gestin del servicio
Las Normas ISO/IEC 20000, al igual que muchas otras normas internacionales,
establecen que la implantacin de los procesos para la gestin del servicio se estruc-
ture en las cuatro etapas identificadas por las siglas PDCA, muy utilizadas en gestin
de la calidad (vase la figura 4.1). Estas normas se centran en definir los requisitos y
recomendaciones a tener en cuenta para la implantacin de los procesos establecidos
en los sistemas de gestin, ordenados en cada una de estas 4 etapas del PDCA.
El ciclo PDCA representa una forma de organizar los cambios o las acciones de
mejora en las organizaciones. Es una estructuracin sencilla en 4 pasos y viene a
recordar que, adems de planificar e implementar los cambios, hay que comprobar
el xito de las acciones, y si hay algo que corregir o prevenir (que siempre lo habr)
hay que actuar para subsanarlo. La gran importancia de este ciclo sencillo radica en
que se utiliza mucho en la normativa internacional de ISO y de otras instituciones
como la forma de implantar una actividad de mejora continua de cualquier aspecto
en cualquier organizacin. En la figura 4.2 se muestra este ciclo aplicado a la ges-
tin del servicio de TI.
112 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
P
Planificar: planificar la
implementacin y la entrega
de la gestin del servicio.
Plan
Planificar
D A
Hacer: implementar el plan
Do Act Actuar: mejorar la eficacia y
de gestin del servicio. Hacer Actuar la eficiencia de la entrega
y la gestin de los servicios.
Check
Verificar
C
Verificar: monitorizar, medir
y revisar que los objetivos y
el plan de gestin del servicio
se estn alcanzando.
El concepto original del ciclo PDCA fue desarrollado por Walter Shewhart, estads-
tico pionero en el desarrollo de procesos de control estadstico en los Laborarios Bell
de EEUU durante la dcada de 1930. El ciclo de Shewhart fue adoptado y promo-
cionado posteriormente por un discpulo suyo W. Edwards Deming en la dcada de
1950, difundindose como ciclo o rueda de Deming, quien propuso que los procesos
se deben analizar y medir para identificar las causas de las variaciones que originan
que los productos se desven de los requisitos de los clientes. Deming recomienda
que los procesos de negocio deben estar en un bucle realimentado de mejora conti-
nua para poder identificar y cambiar las partes del proceso que necesitan mejora.
Unos aos despus, en su carrera profesional, Deming modifica el concepto origi-
nal de PDCA, cambiando check por study, pues segn l, estudiar describe
mejor la intencin inicial, apareciendo el nuevo ciclo Plan-Do-Study-Act (PDSA),
que ha tenido escasa aceptacin.
Posteriormente la metodologa de mejora continua Seis Sigma define un ciclo de
cinco etapas: Define-Measure-Analyze-Improve-Control (DMAIC) basado en el ciclo
de Deming.
Otros autores proponen anteponer al PDCA una etapa de anlisis y de decisin.
Para ello, utilizan la metodologa FOCUS (Find-Organize-Clarify-Understand-Start);
crendose un ciclo de nueve etapas denominado: FOCUS-PDCA.
PDCA
En la figura 4.3 se muestran estas 6 etapas en las que ITIL v2 estructura la activi-
dad de implementacin.
Cul es la visin?
Dnde estamos
ahora?
Cmo hacemos
para llegar?
Cmo comprobamos
que hemos alcanzado
los objetivos?
Fuente: Libro ITIL Planning to Implement Service Management publicado por OGC.
Plan
Planificar
Do Act
Ciclo PDCA Hacer Actuar
Fase inicial de evaluacin
habitual
y seleccin de acciones Check
Verificar
C A P D C A
Verificar: Actuar: Planificar: Hacer: Verificar: Actuar:
realizar un identificar planificar la implementar monitorizar, medir mejorar la eficacia
anlisis o las acciones implementacin el plan de y revisar que los y la eficiencia
evaluacin que se deben y la entrega de gestin del objetivos y el plan de la entrega
inicial de la realizar. la gestin servicio. de gestin del y la gestin de
organizacin del servicio. servicio se estn los servicios.
de TI alcanzando.
Figura 4.4. Inicio habitual en TI del ciclo PDCA por una fase inicial de Check y Act
UNE-ISO/IEC 20000-1
La Norma ISO/IEC 20000-1 presenta un esquema del PDCA como motor para la
implementacin y mejora de la gestin del servicio. En la figura 4.6, en la parte
izquierda se muestran las entradas a tener en cuenta en la gestin del servicio (requi-
sitos del negocio, requisitos del cliente, solicitudes de servicios nuevos o modifica-
ciones, interfaces con otros procesos, el centro de servicio al usuario, otros grupos o
reas, etc.). En la parte derecha se muestran las salidas de la actividad de gestin del
servicio (entrega de resultados al negocio, satisfaccin de las reas cliente, los servi-
cios nuevos o renovados disponibles, satisfaccin del equipo de TI, etc.). En la parte
central se sita la propia gestin de TI, destacndose la necesaria implicacin de la
direccin y el motor PDCA para implantar y evolucionar la gestin de TI.
cultural y organizacional: los procesos, las herramientas que los soportan y las per-
sonas. reas que, aunque no resultan nuevas en absoluto, no por ello dejan de ser
importantes para estructurar las actividades que se deben realizar. En la figura 4.7
se muestran estas tres reas alrededor del SGSTI y del ciclo PDCA utilizado para
implementarlo y mejorarlo.
La experiencia muestra que estos marcos de mejores prcticas utilizan una visin
bastante homognea de los procesos y de su contenido, por lo que las diferencias
en la definicin de los mismos son pequeas. Es en los detalles de quin y con qu
se realizan (contenidas en los procedimientos) cuando empiezan a aparecer diferen-
cias entre las organizaciones. Por este motivo se recomienda realizar con rapidez la
definicin de procesos y procedimientos, y tambin contar con el apoyo de una
consultora externa para ello.
La definicin de los procesos es una actividad importante en la implantacin y, ade-
ms, se suele concluir con bastante xito. Pero hay que recordar que no es la nica
faceta: los procesos hay que implantarlos para que el personal trabaje de acuerdo a
ellos; el apoyo de las herramientas de gestin es esencial para dar eficiencia y con-
ducir el trabajo diario; y el cambio cultural de la organizacin es el factor ms dif-
cil de llevar a cabo.
verdad por el cambio y que ellos son importantes para conseguirlo. Sin cumplir
este requisito el fracaso est garantizado.
La importancia de las personas en este camino de transformacin se debe manifes-
tar ntidamente en:
Planes paulatinos, constantes e intensivos de formacin sobre las nuevas for-
mas de trabajo y las nuevas herramientas de gestin.
Entrenamiento individual en las funciones de su puesto, hasta que cada uno
llegue a desempearlas a la perfeccin.
Comunicacin, nimo y estmulo constante. Mediante conferencias, reunio-
nes, boletines internos, etc. Transmitiendo tranquilidad ante la incertidum-
bre del cambio y entusiasmo.
Motivacin permanente a los que se implican y una gestin pertinaz de quie-
nes se muestran reticentes al cambio.
Evolucin organizativa gil. Los nuevos roles necesarios se deben definir y
nombrar con rapidez.
Autoridad y disciplina. Es necesario mantener el principio de autoridad, pues
el servicio de TI no es un juguete tecnolgico, y s es o ser la pieza esencial
para la supervivencia de la empresa.
Foco en el dominio de la tecnologa. No se debe olvidar la necesidad del
dominio absoluto de la tecnologa, sin el cual, todo esfuerzo de establecer
procedimientos y organizar ser en vano. As, por muy detallados que se ten-
gan los procedimientos, por muy alineados que se est con el negocio, si los
programadores no saben construir cdigo de calidad o si el tcnico de
soporte al intentar resolver una incidencia destroza el equipo por desconoci-
miento tcnico, no hay transformacin posible.
SGSTI
Entrega 5 PDCA
Cambio 4 Herramientas
3
Creacin
Configuracin
2 servicios
1
Nivel de
Problema
servicio
0
Incidente Informes
Suministradores Contin. y
dispon.
Relaciones
Presupuestar
negocio
Seguridad Capacidad
+
SATURADOS ECONMICOS OBLIGADOS CONDICIONADOS VISIONARIOS
(Por actividad diaria) (En reduccin (Por necesidad (Por consolidaciones o (Negocios en alza)
de costes) de certificado) por outsourcing)
Formacin reducida. Charlas introductorias. Foco en aprobar el Formacin global: Formacin global:
Creen en ITIL pero Formacin examen que supone amplia. extensiva.
no practican. especializada: puntual. la obtencin de la Formacin Formacin
certificacin. especializada: amplia. especializada:
Desarrollo de Desarrollo de
proyectos puntuales proyectos tcticos. Una o dos personas Desarrollo de proyectos abundante.
y por necesidad encargadas de estratgicos y Desarrollo de
Equipos de proyecto preparar un sistema
operativa formado por personal completos. proyectos estratgicos
(por ejemplo, de documentacin (y tcticos alineados
interno. que justifique el Equipos de trabajo con
catlogo de personal interno y fuerte con la estrategia).
servicios, etc.). Reutilizacin de cumplimiento de
herramientas existentes. las normas. apoyo de especialistas Equipos de trabajo
externos. con personal interno
Compra herramientas Foco en los papeles y fuerte apoyo de
de forma puntual. y en la formalizacin Foco en normalizacin
integrada y herramientas especialistas externos.
documental.
que lo soporten. Foco en normalizacin
Poco inters por mejorar. e integracin de
Mejoras de rebote. procesos y las
Cambios puntuales. herramientas que
lo soporten.
Charlas introductorias.
Formacin especializada
puntual.
Fuente: Telefnica.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
g) una planificacin de los recursos h) el enfoque para la modificacin
expresada en trminos de las fechas del plan y de los servicios defini-
en las que deberan estar disponi- dos por el plan;
bles las fuentes de financiacin, las
habilidades y los recursos;
PDCA
El plan de implantacin debe contemplar todos los aspectos relativos a los tres blo-
ques principales: los procesos, las herramientas de gestin necesarias y las perso-
nas. En la figura 4.11 se aprecia un ejemplo de las actividades que se deben con-
templar en un plan de implantacin de estas normas.
Formacin de profesionales.
Plan de comunicacin.
Cambio organizativo.
PERSONAS
Entrenamiento personal.
Despliegue de herramientas.
Cambio de formas trabajo.
Fuente: Telefnica.
SGSTI
Entrega 5 PDCA
Cambio 4 Herramientas
3
Creacin
1
Nivel de
Problema
servicio
0
Incidente Informes
Suministradores Contin. y
dispon.
Relaciones
Presupuestar
negocio
Seguridad Capacidad
4.o Formacin y certificacin de profesio- Otras etapas de PDCA: ejecucin del plan
nales clave en ITIL e ISO/IEC 20000 de implementacin, comprobacin y mejora
UNE-ISO/IEC 20000-2
Enfoques de la planificacin
UNE-ISO/IEC 20000-2
Se pueden utilizar varios planes de ges- Un plan de gestin del servicio debera
tin del servicio en lugar de un plan o incluir:
programa de gran magnitud. En este a) la implementacin de la gestin
caso, los procesos subyacentes a la ges- del servicio (o de parte de la ges-
tin del servicio deberan ser coherentes tin del servicio);
entre ellos. Tambin se debera poder
b) la entrega de los procesos de la
demostrar cmo se gestiona cada
gestin del servicio;
requisito de planificacin vinculndolo
a sus correspondientes funciones, res- c) los cambios de los procesos de la
ponsabilidades y procedimientos. gestin del servicio;
La planificacin de la gestin del servi- d) las mejoras de los procesos de la
cio debera formar parte del proceso gestin del servicio;
para convertir las necesidades de los e) los nuevos servicios (hasta el punto
clientes y las intenciones de los directi- que afecten a los procesos inclui-
vos en servicios y para proporcionar dos en el alcance acordado de la
una gua para dirigir el progreso. gestin del servicio).
personas tendrn que trabajar de una forma o de otra segn del servicio de
que se trate. Debemos destacar que este segundo caso es el ms eficaz para la
obtencin de un certificado.
consigue hasta que no estn todos ellos implantados. Como las combinaciones son
muchas, a continuacin se presentan las ms frecuentes:
Escenario 1: Inestabilidad. Una organizacin con inestabilidad y con con-
tinuos cortes del servicio estar sumida en una crisis permanente restaurando
los servicios. En esta situacin, lo primero que hay que hacer es poner foco
inmediato en controlar la situacin. Para ello ser necesario trabajar con la
gestin del incidente para minimizar los tiempos de no disponibilidad. De
forma casi paralela, parece razonable implementar tambin la gestin del
cambio, que pone orden en todo paso al entorno productivo y reduce el
nmero de incidentes que se producen derivados de los cambios. Adems,
ser conveniente iniciar la gestin del problema, para eliminar los fallos y
defectos ocultos. Tambin se debera abordar soluciones de monitorizacin
para tener un mejor control del entorno productivo.
Escenario 2: Garantizar. Es este caso, la organizacin de TI necesita dar
garantas al negocio de que las prdidas de informacin y del servicio son
mnimas. Lgicamente, es una situacin ms avanzada que el escenario 1 de
crisis, aunque no se debe poner en riesgo el negocio por que TI no pueda
recuperar los datos o los sistemas. El foco se debe poner en los procesos que
garantizan que los servicios se puedan restaurar en cualquier situacin, bien
sea por fallos locales o por el impacto de desastres mayores. Antes de comen-
zar con los procesos ISO/IEC 20000, habr que revisar o implantar una
solucin slida de copias de seguridad (backup). Despus, deber centrarse
en el registro de las versiones de las aplicaciones instaladas y de la parametri-
zacin realizada. Para ello ser tratar la gestin de la configuracin y la ges-
tin de la entrega. Posteriormente, se implementar la gestin de la conti-
nuidad para garantizar la recuperacin en caso de desastre.
Escenario 3: Relaciones. Si el servicio es estable pero la opinin de las
reas negocio clientes sobre el servicio de TI es mala y las relaciones son
tensas y difciles, la estrategia debe ser distinta. Hay que ponerse de inme-
diato a regular y mejorar la comunicacin, a tranquilizar al negocio y a ges-
tionar las expectativas. En este escenario lo razonable sera comenzar con la
gestin de las relaciones con el negocio y definir un catlogo de servicios
que regule las expectativas sobre TI, para pasar inmediatamente a la defini-
cin de acuerdos de nivel de servicio (SLA) y a implementar la gestin de
nivel de servicio que se encargue de seguir su cumplimiento. La gestin
de informes y su disponibilidad online al negocio mejorar enormemente la
percepcin sobre TI.
Gestin de la
Gestin Catlogo
configuracin
del cambio de servicios
CMDB y DSL
Adems de los ejemplos anteriores, se pueden dar otras situaciones a partir de las
cuales se decide implementar ISO/IEC 20000:
Escenario 4: Un problema. Foco en resolver un problema inmediato que
existe en la organizacin. En este caso, TI no se puede detener a realizar eva-
luaciones sobre la madurez actual. Se deben identificar los principales pro-
blemas acuciantes del proveedor de TI para buscar soluciones inmediatas.
Cada problema tendr su propia aproximacin. El problema puede ser de
ndole tcnico, organizativo, de motivacin, de capacitacin, de gestin, etc.
Las Normas ISO/IEC 200000, junto con ITIL y el sentido comn, aporta-
rn alguna va de solucin.
Escenario 5: Foco en los servicios crticos. La empresa tiene claramente
identificados cules son sus servicios crticos con gran impacto en la actividad
PDCA
Eventos a considerar
UNE-ISO/IEC 20000-2
Conviene tener en cuenta que los xitos rpidos hay que publicitarlos en la organi-
zacin.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Nota: Es posible que la persona que sea ade- mentacin inicial no sea la apropiada para la
cuada para realizar la planificacin y la imple- operacin continua.
Director de TI
Patrocinador SGSTI
CIO
Grupo implementacin y
Planificacin Direccin de Direccin de procesos TI
y control desarrollo produccin
Director de TI
CIO
Dado que la transformacin es un proceso continuo, este equipo creado ad-hoc para
el proyecto o los proyectos de implantacin, suele constituirse en una estructura
estable en el tiempo. Este equipo muy centrado inicialmente en la implantacin,
va evolucionado su actividad hacia la mejora continua de los servicios y de la activi-
dad de TI.
En las grandes organizaciones habra que tener en cuenta la necesidad de diversos tipos
de apoyo externo a lo largo del tiempo. A este respecto, en las ms avanzadas, suelen
contratar una evaluacin anual o bianual para identificar las fortalezas adquiridas y los
nuevos puntos de mejora. A veces, adems de esta evaluacin se suele realizar un
benchmarking comparativo con el mercado de los ratios ms destacados de TI.
La aparicin continua de normativa, que por una parte aporta ayuda a las empresas
pero que por otra acaba convirtindose en una nueva demanda del mercado, hace
que este equipo de implantacin o de procesos de TI tenga garantizada una intensa
actividad para los prximos 10 aos.
Las empresas debern tener en cuenta, en sus estrategias y sus porfolios de proyec-
tos anuales, destinar una partida al proyecto de transformacin continua de las for-
mas de hacer.
UNE-ISO/IEC 20000-1
Objetivo: Monitorizar, medir y revisar que los objetivos y el plan de gestin del ser-
vicio se estn cumpliendo.
El proveedor del servicio debe aplicar mtodos adecuados para la monitorizacin y,
cuando sea necesario, la medicin de los procesos de gestin del servicio. Estos
mtodos deben demostrar la capacidad de los procesos para alcanzar los resulta-
dos planificados.
La direccin debe realizar revisiones a intervalos planificados para determinar si los
requisitos de gestin del servicio:
a) son conformes con el plan de gestin del servicio y los requisitos de esta
norma, y
b) se implementan y se mantienen de manera eficaz.
PDCA
UNE-ISO/IEC 20000-2
El proveedor del servicio debera plani- Los resultados del anlisis deberan pro-
ficar e implementar la monitorizacin, porcionar una entrada a un plan para
la medicin, el anlisis y la revisin de la mejora del servicio.
los servicios, los procesos de gestin
Adems de las actividades de gestin
del servicio y los sistemas asociados.
del servicio relativas a la medicin y el
Entre los elementos que se deberan
anlisis, es posible que la alta direccin
monitorizar, medir y revisar estn los
necesite recurrir a auditoras internas y a
siguientes:
otros tipos de verificaciones. Al decidir
a) los logros respecto a los objetivos la frecuencia de dichas auditoras inter-
de servicio definidos; nas y verificaciones, se deberan tener
en cuenta, entre otros, factores como el
b) la satisfaccin del cliente;
nivel de riesgo implicado en un pro-
c) la utilizacin de los recursos; ceso, su frecuencia de realizacin y su
historial de problemas pasados. Las
d) las tendencias;
auditoras internas y las verificaciones se
e) las no conformidades de mayor deberan planificar, registrar y llevarse a
consideracin; cabo de una manera competente.
UNE-ISO/IEC 20000-1
Poltica:
Debe haber una poltica publicada sobre la mejora del servicio. Se debe corregir
cualquier no conformidad con la norma o con los planes de gestin del servicio.
Se deben definir claramente los roles y las responsabilidades para las actividades de
mejora del servicio.
Actividades:
El proveedor del servicio debe realizar actividades para:
a) recopilar y analizar los datos para delimitar y medir la capacidad del provee-
dor del servicio para gestionar y proveer el servicio junto con los procesos de
gestin del mismo;
b) identificar, planificar e implementar mejoras;
c) consultar a todas las partes implicadas;
d) establecer objetivos de mejora en cuanto a la calidad, los costes y la utiliza-
cin de recursos;
e) tener en cuenta las aportaciones importantes, referentes a mejoras, que se
realicen desde todos los procesos de gestin del servicio;
f) medir, informar y comunicar las mejoras en el servicio;
g) revisar las polticas, los planes y los procedimientos de gestin del servicio,
siempre que sea necesario; y
h) asegurar que todas las acciones aprobadas se llevan a cabo y que se alcan-
zan los objetivos deseados.
PDCA
UNE-ISO/IEC 20000-2
En la mejora continua hay que distinguir dos tipos de mejoras: la mejora de los
procesos de gestin del servicio y la mejora propia de los servicios. Ambos tipos de
mejora redundarn en que la organizacin de TI funcione con ms eficiencia, y en
que los servicios prestados sean de mayor calidad.
En el caso de la mejora de los procesos, las acciones de mejora de cada uno de ellos
las identifica y propone el propietario o el responsable del proceso. En relacin a
144 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
las mejoras en cada uno de los servicios, las detecta, recopila de otras partes y pro-
pone cada uno de los gestores de nivel de servicio (vase el apartado 6.1). En ITIL,
para el conjunto de mejoras de uno o varios servicios agrupados en un plan se ha
acuado el trmino de plan de mejora del servicio (SIP, Service Improvement Pro-
gram). Las acciones de mejora pueden abarcar todo tipo de actividad necesaria:
mejoras tecnolgicas en los servicios, incorporacin de herramientas, formacin a
los involucrados, comunicacin, mejora en la documentacin, etc.
A la luz de lo establecido y recomendado por estas normas, parece razonable que
todas las acciones de mejora (de los procesos y de los servicios) se consoliden en una
planificacin o un plan de mejora unificado, formado en base de los planes de
mejora de cada proceso y de cada servicio. De esta forma se tendr una visin unifi-
cada de todas las acciones de mejora y las interrelaciones entre ellas. Este plan de
mejora unificado se puede ejecutar por fases y aplicando nuevamente el ciclo PDCA.
Las propuestas de mejora, que emanan de diversas fuentes (mejoras detectadas en
cada proceso, plan de mejora del servicio, iniciativas de calidad como Seis Sigma o
Lean, etc.), recopiladas por los gestores de los procesos, se agrupan para organizar-
las en un plan consolidado. As, la mejora continua de la gestin del servicio se rea-
liza de una forma coordinada por un responsable nico de esta actividad. En la
figura 4.16 se muestra la agrupacin de las propuestas de mejora en un plan unifi-
cado comn a toda la organizacin de TI.
Resumen
La implementacin de sistema de gestin del servicio de TI (SGSTI) est bien
especificada en las Normas ISO/IEC 20000 y debe seguir las 4 etapas del ciclo de
mejora continua de Deming (PDCA). En la figura 4.17 se muestra de nuevo la
aplicacin de estas 4 etapas al SGSTI.
Beneficios
La implantacin de la gestin del servicio de TI siguiendo el ciclo PDCA y los
requisitos especificados y recomendados en las Normas ISO/IEC 20000, aportarn
entre otros, los beneficios siguientes:
Permitir que todas las actividades de transformacin de la organizacin se
lleven a cabo de una forma controlada y organizada.
Los objetivos se fijan en funcin de la situacin de partida, obtenida
mediante una evaluacin inicial.
Los proyectos de implementacin tienen unos objetivos fijados.
Se monitorizan y miden los resultados de los proyectos.
Se establece un plan de mejora continua.
Se aprovecha la experiencia de otras organizaciones que iniciaron antes el
camino.
146 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Figura 4.18. Ejemplo de actividades y tcnicas asociadas a cada etapa del PDCA
PDCA
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cmo se aplica el ciclo PDCA en su organizacin?
Cul es la secuencia de implantacin de los procesos que ms se
adecua a su caso particular?
En funcin de su experiencia, qu otras recomendaciones de imple-
mentacin aadira a este captulo?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
5
Captulo 5
Planificacin e implementacin
de nuevos servicios o de
servicios modificados
Las organizaciones de TI, y las actividades que desarrollan, han sido tradicional-
mente vistas como un soporte interno al negocio, descuidando en general el uso de
criterios apropiados para medir su rentabilidad, eficacia y la calidad del servicio
ofrecido a toda la organizacin. Actualmente el entorno donde nos movemos, en el
que los horarios de disponibilidad de los servicios son cada vez ms amplios, donde
las exigencias del cliente son cada vez ms elevadas, y donde los cambios en el
negocio son cada vez ms rpidos, es muy importante que los sistemas de informa-
cin estn adecuadamente organizados y alineados con la estrategia de la empresa.
La planificacin e implementacin de nuevos servicios o de servicios modifica-
dos, tiene la misin de garantizar que los servicios se puedan crear y entregar con
la funcionalidad, costes, calidad y plazos acordados con los clientes. Para ello hay
que gestionar el ciclo completo de la provisin y entrega de los servicios, realizando
una planificacin unificada e integrada, asegurando que todas las partes implicadas
conocen y cumplen con el plan y los compromisos acordados.
En este captulo se presenta una visin de este proceso, con un alcance ms all de
lo establecido en estas normas, definiendo el marco de un proceso nuevo que est
presente a lo largo de todo el ciclo de vida de la provisin de un servicio: desde la
elaboracin de la propuesta de servicio, hasta la revisin despus de su implanta-
cin, en el entorno de produccin real. El proceso recorre y organiza con eficiencia
a toda la organizacin de TI, sirviendo como integracin entre la estrategia del
negocio, el desarrollo de aplicaciones, el departamento de explotacin o produc-
cin, y el rea de planificacin y control econmico de TI.
Para las empresas que ya tengan implementada una metodologa o un proceso de
gestin de los proyectos para el desarrollo de aplicaciones, este captulo les apor-
tar nuevos puntos de mejora para incorporar y con ello enriquecer y complemen-
tar la metodologa ya implementada, facilitando as la integracin con los nuevos
procesos de gestin del servicio. Por tanto, este proceso utiliza las metodologas y
procesos existentes en la organizacin para cubrir parte de sus etapas. En este cap-
tulo no se aborda la descripcin de la etapa de construccin (software y hardware)
del servicio, ni en las metodologas gestin de proyectos TI (PMBOK, PRINCE2,
etc.), aunque stas sern necesarias para gestionar los proyectos de creacin de los
servicios. Tambin sera necesaria la utilizacin de otros estndares y mejores prc-
ticas relacionados con el desarrollo de software (SPICE o CMMI).
El lector comprender mejor los detalles de este proceso cuando haya profundizado
en el resto de procesos de gestin del servicio, pues utiliza gran parte de ellos. En
realidad, el captulo se debera haber ubicado de los ltimos del libro, pero se ha
decidido mantener la posicin que tiene en las normas para conseguir una numera-
cin de captulos similar.
152 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
OPERACIN
MEJORA
CONSTRUCCIN
CONTINUA
Fuente: Telefnica.
Por tanto, este proceso es idneo para la integracin de las dos reas de TI, tradi-
cionalmente separadas y mal engranadas: el desarrollo y la produccin.
En la figura 5.5 se muestra un esquema global que integra el ciclo de vida ITIL v3,
con las etapas tpicas de las metodologas de gestin de proyectos, los procesos de
desarrollo de software y la relacin con el resto de los procesos de gestin del servi-
cio de TI contemplados en ISO/IEC 20000.
La creacin y evolucin de servicios orquesta una cadena de fabricacin en TI,
que comienza con los requisitos del negocio y termina con los servicios operativos.
En un extremo de la cadena de fabricacin est la necesidad del cliente de nuevas
funcionalidades de negocio y, en el otro extremo, se obtiene el servicio entregado y
operativo. El cliente, tras el tiempo acordado, espera recibir el servicio pactado que
cumpla con la funcionalidad, los costes y los acuerdos de servicio establecidos al
inicio del proceso. Justo entre estos dos extremos, es necesario desarrollar toda una
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 157
Fuente: Telefnica.
Cada uno de los otros procesos que participan en la cadena tiene unos objetivos
especficos y su propio aporte a la construccin del servicio final. Aunque estos
procesos no se han tratado todava en este libro, es conveniente tener una visin
general de su participacin en este proceso. A continuacin, se detallan los prin-
cipales:
Relaciones con el negocio. Su objetivo es establecer y mantener una buena rela-
cin entre el proveedor del servicio y el cliente, basndose en el entendimiento del
cliente y de los fundamentos de su negocio (vase el captulo 7 para obtener ms
detalles de este proceso).
El proceso de creacin de servicios engrana con este proceso de relaciones para que
gestione todo el contacto necesario con las reas de negocio. Su contribucin se
centra en la toma de requisitos de las necesidades del cliente, la posterior negocia-
cin de la propuesta de servicio, la gestin del nuevo acuerdo de nivel de servicio y
el consenso con el cliente de la planificacin para la creacin del servicio realizada
por el proceso de creacin. En su funcin comercial, durante el proceso de crea-
cin, se encarga de mantener informado al cliente y estar presente en las reuniones
de seguimiento, acompaando al jefe de proyecto. En la entrega, gestiona la parti-
cipacin del cliente en las validaciones funcionales y en las reuniones para el cierre
del proyecto de creacin.
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 159
Hasta este punto se han podido observar los objetivos y mbito de actuacin de
este proceso de creacin y modificacin de servicios de TI. La figura 5.7 propor-
ciona un resumen de este proceso: una definicin, el objetivo formalizado en las
Normas ISO/IEC 20000 y las principales aportaciones del proceso.
Los principales factores clave en torno a los que se articula este proceso se resumen en:
Cumplimiento de los plazos, atendiendo a la agilidad y tiempo de respuesta
de la organizacin de TI ante necesidades del negocio.
Cumplimiento de la funcionalidad demandada.
Gestin eficiente de los costes.
Cumplimiento de las polticas establecidas en TI, tanto para la construccin
del servicio y de sus componentes, como para la articulacin de su puesta en
produccin.
Velar por la calidad necesaria demandada por el negocio.
Integracin de las soluciones en las arquitecturas TI existentes, tanto de:
datos, de aplicaciones, de componentes, tecnolgica de hardware-software, de
seguridad, etc.
En la figura 5.8 se resumen estos factores clave que estructuran y rigen la actividad
de este proceso en las relaciones intensas y constantes con los intervinientes en la
creacin o evolucin de un servicio TI.
Cliente
Servicio
Requisitos
del servicio Planificacin Informe
del proyecto de pruebas
Polticas, procesos desarrollo de software,
metodologa gestin de proyectos
Especificaciones
tcnicas
y arquitecturas
de servicio
OLA y UC
Acuerdos internos con reas,
procesos, funciones
Propuesta
y suminstradores
de servicio
Lista de
cambios
Solicitud
RFC planificados
SLA de cambio
(FSC)
Figura 5.9. Componentes principales de las etapas de diseo y transicin del proceso
164 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
internas (OLA) y externas (UC) intervinientes, sobre la aportacin que cada uno
va a realizar a la provisin e implantacin del servicio. Esta planificacin del pro-
yecto esta sujeta al control del cambio.
Solicitud de cambio (RFC, Request For Change). Formulario utilizado para pro-
poner un cambio en cualquier componente de la infraestructura de TI o en cual-
quier aspecto de un servicio de TI. En este caso contempla la creacin de un servi-
cio o la modificacin de uno existente.
En la RFC se reflejan la naturaleza, los detalles, la justificacin y la autorizacin del
cambio propuesto. La RFC va actualizndose a lo largo de la vida de la creacin
del servicio. La RFC se describe en el apartado 9.2 de este libro.
determinar si la necesidad del cliente est cubierta por el catlogo; las polticas,
metodologas de gestin de proyectos y las arquitecturas TI con el fin de que la cre-
acin del nuevo servicio sea acorde con todo lo dictado en la organizacin; los
SLA, OLA y UC existentes; y la CMDB para proveer todo tipo de informacin
sobre TI y sus elementos de configuracin.
Las actividades principales que realiza este proceso son:
Gestin de la demanda, realizada por relaciones con el negocio (cliente) para
profundizar en sus necesidades, determinacin de si stas estn en el catlogo
de servicios, y su encaje en las previsiones presupuestarias y en el porfolio de
servicios.
Establecimiento de los requisitos del servicio por parte del cliente (SLR).
Realizacin, si procede, del anlisis de viabilidad (TCO y ROI).
Elaboracin de las especificaciones tcnicas del servicio, que incluye su arqui-
tectura y el diseo funcional y tcnico.
Elaboracin de la propuesta del servicio y del SLA.
Realizacin del plan de proyecto para la creacin del servicio.
Revisin y formalizacin de acuerdos internos y contratos (OLA y UC).
Confeccin de la solicitud de cambio (RFC) y aprobacin de la creacin del
servicio. Dar la orden del inicio de la construccin del servicio.
Seguimiento del proceso de construccin.
Realizacin de la integracin y pruebas del servicio construido, en el entorno
de pruebas-integracin.
Aprobacin de la implantacin del servicio por gestin del cambio.
Realizacin de la implantacin y despliegue del servicio.
Revisin post-implantacin.
Comunicacin de los resultados a todas las partes interesadas.
Cierre de la implantacin y de la solicitud de servicio.
Las salidas principales del proceso son: el servicio operativo y listo para que pro-
vea las funcionalidades al negocio especificadas; todo tipo de documentacin aso-
ciada necesaria (de usuario, para las reas tcnicas, de soporte para la atencin de
incidentes y peticiones del usuario, etc.); el servicio cargado en las herramientas
de autorresolucin al usuario; y las contrataciones necesarias realizadas (para la
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 169
Gestin demanda.
Necesidades frente a
catlogo de servicios Anlisis de viabilidad
Requisitos de servicio Especificaciones tcnicas Aprobacin preliminar
del cliente (SLR) del servicio (SS)
Negociacin propuesta Propuesta del servicio y SLA
servicio y SLA
Acuerdo con el cliente Plan de proyecto del servicio
Revisin y formalizacin de Aprobacin del RFC de
acuerdos y contratos (OLA, UC) creacin/evolucin
del servicio
Confeccin solicitud Aprobacin planificacin
de cambio (RFC) Inclusin en FSC
Orden de construccin Gestin del cambio
Construccin del servicio. Pruebas del servicio (por otros procesos y departamentos TI)
Fuente: Telefnica.
Estas especificaciones describen con detalle lo que el cliente desea y cual es el impacto
que tiene en la organizacin TI, su provisin, implantacin y operacin. Este docu-
mento de uso interno no necesita ser firmado por el cliente, pero si est sujeto al con-
trol documental establecido por el sistema de gestin del servicio de TI (SGSTI).
172 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
1. Introduccin
Objetivo y alcance.
Nombre del cliente/SLR de referencia.
2. Descripcin del servicio
Nombre del servicio, objetivos y alcance.
Requerimientos de alto nivel:
Funcionalidad.
Horario de servicio y soporte.
Disponibilidad, fiabilidad y continuidad.
Rendimiento y volmenes.
Interfaces, etc.
3. Estructura y propuesta de nivel de servicio
4. Planificacin
Fecha requerida de disponibilidad del servicio.
Duracin del servicio.
5. Relaciones con otros elementos de configuracin
Servicios, componentes hardware y software.
6. Unidades involucradas la creacin del servicio
Nombre del departamento, responsable, datos
de contacto y requerimientos tcnicos, humanos
y econmicos asociados.
7. Servicios impactados
Nombre del servicio y descripcin del impacto.
UNE-ISO/IEC 20000-1
1. Objetivos y alcance.
2. Descripcin del servicio:
Funcionalidad.
Seguridad y continuidad.
3. Estimacin de recursos necesarios del cliente.
4. Estimacin de plazos de creacin y entrega.
5. Estimacin de costes asociados.
6. Impacto y modificaciones a contratos y acuerdos
existentes.
7. Propuesta SLA:
Compromisos de prestacin regular del servicio en
trminos medibles.
Indicadores y mtricas de gestin del
cumplimiento.
Mecanismos de control y seguimiento de la
evolucin de los niveles de servicio acordados.
8. Criterios de aceptacin del servicio.
9. Participantes y sus responsabilidades en las
actividades de creacin, implantacin, operacin
y evolucin de los nuevos servicios. Contemplar
las actividades a llevar a cabo por los clientes y
el proveedor de servicio TI.
El SLA del servicio describe las condiciones de la prestacin regular del mismo
durante el tiempo que dure el acuerdo. Contiene los compromisos de TI y del cliente
para prestacin del servicio y ser la referencia que se utilizar por las dos partes para
medir la prestacin del servicio. En el mbito de este proceso se formaliza el SLA,
pero su realizacin corresponde al proceso de gestin de nivel de servicio (SLM),
trabajando para este proceso. Este punto se trata detalladamente en el apartado 6.1.
La propuesta de servicio describe en trminos de negocio qu se entregar al
cliente y cundo; y el SLA contiene los compromisos de ambas partes para la
prestacin habitual del servicio. Estos documentos constituyen el medio por el que
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 175
las dos partes, cliente y proveedor de servicios TI, pueden medir los compromisos
tanto del cumplimiento de la creacin del servicio como los de su prestacin regu-
lar durante su vida til.
UNE-ISO/IEC 20000-1
1. Introduccin:
Objetivo y alcance.
Clientes, SLR y SLA de referencia.
Fecha de inicio servicio.
2. Procesos y departamentos involucrados:
Nombre del departamento.
Persona y datos de contacto.
Participacin requerida.
3. Descripcin de los niveles de soporte necesarios:
Niveles de soporte requeridos de los procesos
(incidentes, disponibilidad, capacidad, gestin
del cambio, gestin de presupuestos y costes de
servicios TI, etc.).
Niveles de soporte requeridos a los
suministradores externos y a otros departamentos
de TI.
4. Planificaciones de trabajo:
Objetivos y alcance.
Planificacin de trabajo de cada departamento,
y/o proceso, de TI (desarrollo de aplicaciones,
operacin de servicio, etc.).
Descripcin de actividades.
Cambios necesarios (descripcin y justificacin).
Recursos necesarios.
Estimacin de esfuerzo y costes asociados.
Figura 5.14. Contenido tipo del plan de proyecto de creacin del servicio
analizado por este proceso para determinar si supone un impacto potencial en los
compromisos adquiridos con los clientes.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
Los nuevos servicios, o las modificaciones en los existentes, deben ser aceptados por el
proveedor del servicio antes de ser implementados en el entorno de produccin real.
Una vez finalizado el desarrollo y las pruebas del servicio, el proceso de gestin del
cambio toma el control para comprobar si se han cubierto todos los compromisos
reflejados en la RFC y someter a la aprobacin del comit de cambios la implanta-
cin del servicio en el entorno de produccin real.
La implantacin del servicio en el entorno de produccin real, la realiza el proceso
de gestin de la entrega (vase el apartado 10.1) bajo la supervisin de gestin del
cambio (vase el apartado 9.2).
UNE-ISO/IEC 20000-1
de las mtricas de este proceso son similares a la de los procesos que utiliza, por lo
que no se repiten aqu. nicamente se enumeran aqullas que tienen un carcter
ms global al proceso:
Nmero de proyectos realizados.
El Time to market de los proyectos o plazo medio desde el primer contacto
con el usuario hasta que el servicio se ha entregado y se est utilizando.
Cumplimiento de los plazos acordados o porcentaje de cumplimiento de los
plazos previstos en cada proyecto.
Alineacin con el cliente, medida como el nmero de inconformidades (o
modificaciones) del cliente por proyecto y del usuario final con los nuevos
servicios.
Calidad tcnica, medida como el nmero de defectos encontrados en las
pruebas del servicio.
Nmero de incidentes causados por los nuevos servicios o las modificaciones.
Cumplimiento de los costes acordados en los proyectos.
Volumen medio de recursos utilizados. Nmero medio de horas/hombre
dedicados por proyecto.
Calidad de las previsiones, medida como el nmero o coste de los nuevos
servicios no previstos en los planes anuales (porfolio de servicios, presu-
puestos, etc.).
Siguiendo los principios de COBIT, las mtricas se estructuran en tres capas: una
primera capa con las mtricas que aportan una visin al negocio de cmo est TI,
denominadas KGI de TI (KGI, Key Global Indicador); una segunda capa destinada
a la visin que el director de sistemas de informacin debera tener sobre el pro-
ceso, denominadas KGI del proceso. Por ltimo, para mostrar los detalles internos
del proceso al responsable del proceso estara la tercera capa, los KPI del proceso
(KPI, Key Performance Indicador).
En el grfico de la figura 5.15 se muestra un resumen de los indicadores ms rele-
vantes de este proceso.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define el proceso y se encarga de la mejora continua del
mismo. Todo ello de una forma integrada con el modelo de gestin de TI
incorporado en el SGSTI.
El responsable de la gestin del cambio, ya que debe autorizar el inicio de las
pruebas e integracin, la implantacin en produccin y el cierre de la entrega.
Responsable de la
gestin del servicio
SGSTI
Gestor de la
creacin de servicios
Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Resumen
La creacin de servicios se ha convertido en un factor clave para lograr el xito
empresarial. El proveedor de TI debe posibilitar un tiempo de entrega de servicios
(time-to-market) acorde a las necesidades del cliente, pero tambin debe contemplar
que los costes, la funcionalidad y calidad de los servicios estn ajustados a sus nece-
sidades reales.
Las principales responsabilidades que tiene a su cargo el proceso se indican en la
figura 5.17.
correcto entre la demanda del cliente, la provisin del servicio, el coste de los mis-
mos y la satisfaccin del cliente.
Para finalizar este captulo, es importante destacar que este proceso es complejo y
soporta mltiples relaciones, por lo que el uso de las herramientas adecuadas es un
punto que no se debe descuidar. La disponibilidad de herramientas especficas (cat-
logo de servicios actualizado, formularios de recogida de requerimientos y especifi-
caciones SLR, SS, modelos de SLA/OLA/UC, un sistema de gestin documental,
etc.) pueden ser el elemento clave para el xito de este proceso y, por tanto, para el
xito de TI en la provisin de servicios nuevos o modificados.
Beneficios
La planificacin e implementacin de servicios nuevos o de servicios modificados
posibilita una mayor confianza en la relacin TI-Negocio, y un incremento de
la satisfaccin de los clientes, gracias a la transparencia y claridad de las propuestas
de los servicios que se van a proveer e implantar, ya que estn realizadas con el
compromiso de todas las partes implicadas y alineadas con las necesidades de nego-
cio planteadas por el cliente.
Tambin contribuye a mejorar esta relacin la fiabilidad que proporciona la planifi-
cacin integrada de todas las reas y procesos TI intervinientes que permite asegu-
rar que una peticin es viable, que la relacin calidad-precio es adecuada, que est
alineada con la estrategia de negocio y tcnica. Tambin contribuye a agilizar y ase-
gurar el time to market de provisin de soluciones, minimizando los riesgos relacio-
nados con el cumplimiento de plazos y costes asociados.
Los principales beneficios que se obtienen al implementar este proceso son:
Los servicios TI se disean para satisfacer las necesidades reales del cliente.
La relacin con el cliente se basa en servicios que TI proporciona, y en el
lenguaje y trminos del negocio.
Se atienden las demandas del negocio convirtindolas en servicios, de acuerdo
con la estrategia y los presupuestos.
La organizacin de TI y sus clientes tienen unas expectativas claras y consis-
tentes del servicio solicitado a TI.
Gestin formalizada de los requisitos del cliente, en su propio lenguaje.
Control del ciclo completo, e integrado, de creacin y modificacin de los
servicios, desde la perspectiva de las necesidades y acuerdos con el cliente,
hasta su entrega y puesta en funcionamiento operativo.
5. Planificacin e implementacin de nuevos servicios o de servicios modificados 189
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la operativa habitual para la creacin de servicios TI en su
organizacin?
Cmo se validan las propuestas de nuevos servicios?
Qu mejoras incorporara al proceso propuesto en este captulo?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6 Procesos de
provisin de servicio
Captulo 6
99,99%
6.3. Gestin de la continuidad y 6.6. Gestin de la seguridad
disponibilidad del servicio de la informacin
Una vez creado el servicio y puesto con xito en explotacin regular, es necesario
desencadenar una serie de actividades que ayuden a garantizar que los servicios cum-
plen los cometidos pactados con el negocio en trminos de: los niveles de servicio,
la continuidad, la disponibilidad, los presupuestos, la capacidad y la seguridad.
Adems de velar por la consecucin de lo comprometido, tambin se debe estar
involucrado en asegurarse que los nuevos servicios o la evolucin de los mismos se
realiza cumpliendo con lo que la organizacin ha predefinido.
Para garantizar que se cumplen estos objetivos se han definido los procesos de
provisin del servicio, seis procesos especializados que engranan con las relacio-
nes con el negocio y con la creacin de servicios. En la figura 6.1 se muestran
estas relaciones.
Gestin de la capacidad
Gestin
de nivel de
servicio
Gestin de la continuidad y
disponibilidad de servicios TI
En este escenario de servicios de alta calidad, alineados con los objetivos del nego-
cio, que cubren las necesidades actuales y que deben ser capaces de evolucionar
rpidamente para cubrir las necesidades futuras, los procesos de la provisin del
servicio toman una especial importancia.
194 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los procesos de provisin del servicio en ISO/IEC 20000 contienen una impor-
tante diferencia frente a lo definido en ITIL v2, pues incorpora la generacin de
informes de servicio como un proceso independiente e incluye tambin el proceso
de seguridad de la informacin. Adems, agrupa en uno slo los procesos de conti-
nuidad y de disponibilidad (que en ITIL v2 estn separados).
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 195
Analizando ITIL v3, se aprecia que aparecen la gestin del catlogo de servicios y
la gestin de suministradores como procesos nuevos que restan peso a la gestin
de nivel de servicio definida esta nueva versin de ITIL.
Por tanto, el panorama entre estos tres modelos queda algo intrincado. En la figura
6.1.2 se muestra una comparativa entre los alcances asignados a este proceso en los
diferentes marcos.
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 197
El proceso debe ser capaz de comprender las demandas del negocio, aunque en
ISO/IEC 20000 no lleva propiamente las relaciones con el negocio (vase el apar-
tado 7.2). Se relaciona internamente con el resto de unidades de TI para negociar y
198 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
fijar los acuerdos operativos. Tambin establece los requisitos para que los contra-
tos de soporte con los suministradores estn alineados con los compromisos del
servicio, contratos que negociar y seguir el proceso de gestin de suministrado-
res (vase el apartado 7.3).
En la figura 6.1.4 se muestran los principios bsicos en los que se sustenta la activi-
dad de este proceso.
Catlogo
de servicios Supervisin
Cultura del servicio
de servicio y de los SLA
Mejoras
Acuerdos de nivel
de servicio (SLA)
Programa de
mejora del
Acuerdos de nivel Gestin de nivel servicio (SIP)
de operativo (OLA) de servicio
Cultura de
compromiso
Mejora
del proceso
Las salidas principales del proceso son el catlogo de servicios creado, actualizado y
publicado a los usuarios (va web); los acuerdos de nivel de servicio nuevos o
actualizados firmados; el o los programas de mejora del servicio, que se remitirn
al comit de cambios (CAB) y al plan de mejora unificado de los procesos y de los
servicios (vase el captulo 4).
Las salidas secundarias del proceso son los acuerdos de nivel operativo internos
nuevos o actualizados; la definicin de requisitos para los contratos de soporte para
la gestin de suministradores; las especificaciones sobre los contenidos necesarios
sobre los informes de los servicios, tanto para el uso interno del proceso, como para
su publicacin al resto de TI y al cliente; las peticiones de cambio necesarias para la
aprobacin de las modificaciones a realizar; y por ltimo, la CMDB actualizada con
los cambios en el catlogo, en los SLA, etc.
El catlogo de servicios de TI
El catlogo de servicios es el instrumento de relacin ms importante de TI con sus
clientes, ya que en l se recoge el conjunto total de los servicios que la organizacin
de TI provee a sus clientes. El catlogo es una excelente herramienta para ayudar
en el cambio cultural del proveedor de servicios de TI hacia objetivos como:
Alineamiento con el negocio. Aportando valor aadido al conocer de
forma clara y precisa los servicios de TI que soportan su negocio.
Orientacin al cliente. Estructurando la misin y el trabajo de TI en torno
a la satisfaccin de las necesidades del cliente en forma de prestacin de
servicios.
Calidad de servicio. Contemplando los indicadores y mtricas que consti-
tuyen la base de los acuerdos de nivel de servicio (SLA).
Gestin de los servicios. Facilita la gestin y control de los niveles de servi-
cio comprometidos con los clientes, posibilitando medir en trminos que el
cliente entiende. Estas medidas permiten pasar de medir percepciones a
tener mtricas entendidas y acordadas por las dos partes.
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 205
UNE-ISO/IEC 20000-1
Se deben acordar por las partes, y registrar, el conjunto total de los servicios a ser
provistos, junto a los correspondientes objetivos de nivel de servicio y las caractersti-
cas de la carga de trabajo que deben soportar.
UNE-ISO/IEC 20000-2
Todos los servicios deberan estar defini- b) los objetivos (por ejemplo tiempo de res-
puesta o de instalacin de una impre-
dos en un catlogo de servicios. Este sora, tiempo para reiniciar un servicio
catlogo puede ser referenciado desde tras un fallo importante),
el SLA y debera utilizarse para recoger c) datos de contacto,
aquellos aspectos considerados como d) horario del servicio y excepciones,
demasiado cambiantes para ser intro- e) disposiciones de seguridad.
ducidos en el SLA.
El catlogo de servicios es un docu-
El catlogo de servicios debera ser mento clave para establecer las expec-
mantenido y estar actualizado en todo tativas del cliente y debera ser fcil-
momento. mente accesible y estar ampliamente
Nota: El catlogo de servicios puede incluir infor- disponible tanto para los clientes como
macin genrica como: para el personal de apoyo.
Con el fin de describir de forma detallada y homognea todos los servicios que
oferta TI, se debe establecer una plantilla documental que servir de base para defi-
nir todos los servicios. Esta ficha tipo suele estructurarse en dos partes: una que
contiene los aspectos de inters para los clientes y usuarios, y otra que incorpora
detalles sobre los servicios internos de TI, que no se muestra a los usuarios. En la
figura 6.1.8 se presenta un ejemplo de la estructura de una ficha de servicio.
Es recomendable que el servicio se d de alta en el catlogo tan pronto como se
conozcan los datos bsicos del mismo, sin esperar a que est operativo. De esta
forma, toda la comunidad de usuarios y los profesionales de la organizacin de TI
conocern de primera mano los servicios que estn en fase de definicin y acuerdo.
Para gestionar correctamente las expectativas y no crear conflictos o malos entendi-
dos, se utiliza la informacin de estado del servicio (vase la figura 6.1.9). Esta
informacin debe contener las etapas del ciclo de vida de los servicios, desde su
peticin hasta su retirada de la operacin.
208 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Definicin.
Funcionalidades del servicio.
Ficha de un servicio de TI Opciones de contratacin.
Condiciones de uso.
Fuente: Telefnica.
Estados de un servicio
Requerimientos
Definido
Analizado
Aprobado
Dotado
Diseado
Desarrollado
Construido
Probado
Desplegado
Operativo
Retirado
Una vez que se define o se actualiza el catlogo, se debe generar una nueva versin
del mismo. Esta nueva versin se debe publicar en la organizacin TI, distribuida a
los gestores de las relaciones con el negocio y clientes para publicitar y dar a cono-
cer todos los servicios disponibles, ponindolo accesible a los usuarios (va web).
El catlogo de servicios requiere un mantenimiento y una actualizacin peridica,
incorporando los nuevos servicios o las modificaciones a los existentes. Todo cam-
bio en el catlogo debe realizarse bajo el control del proceso de gestin del cambio.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
El contenido del SLA debe identificar claramente a todos los intervinientes del
acuerdo de servicio: el cliente, los usuarios, las distintas reas de la organizacin TI
involucradas en la prestacin del servicio; as como las caractersticas del servicio a
prestar: los horarios de disponibilidad del servicio, los tiempos de respuesta, los
plazos de resolucin en caso de incidente, etc.
En relacin a los horarios de disponibilidad del servicio se deben definir los tramos
horarios en los que habitualmente se utiliza el servicio, por ejemplo: 7 x 24 horas,
de lunes a viernes de 8:00 a 18:00 h, etc. Adems, es importante incluir directrices
para posibles ampliaciones del mismo, que contemplen el tiempo de preaviso nece-
sario (por ejemplo, esta solicitud se debe realizar al servicio de asistencia tcnica
antes de las 12 AM para una ampliacin del servicio por la tarde, antes de las 12 del
jueves para una ampliacin el fin de semana). Tambin se incluyen horarios espe-
ciales como en perodos de vacaciones, etc., y un calendario anual del servicio en el
caso de variaciones de las condiciones del servicio, como en campaas de Navidad,
en verano, etc.
La disponibilidad del servicio es uno de los parmetros que ms impacta en el nego-
cio y uno de los ms famosos en el SLA. Se definen los objetivos de disponibilidad
de los servicios dentro del horario acordado, normalmente expresados en trminos de
porcentajes (99%, 99,8%, 99,99%, etc.); se incluye tambin el perodo y el mtodo
de medida.
212 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En el caso del procesado por lotes, se establece la ventana de tiempo para la ejecu-
cin de trabajos batch (normalmente en horario nocturno), se acuerda el porcen-
taje de finalizacin correcta de los trabajos, el lugar para obtener y entregar los
resultados, los interlocutores por ambas partes, etc.
Tambin se debe contemplar las condiciones relativas a la capacidad soportada por
el servicio, como son los lmites de la carga de trabajo, el nmero de usuarios, capa-
cidad de procesamiento del sistema, los volmenes de trfico de comunicaciones,
el nmero pico de transacciones que ser necesario procesar y el nmero mximo
de usuarios en concurrencia. Esto es importante para poder identificar las deficien-
cias en el rendimiento o el incremento de costes debido a la necesidad de ampliar la
capacidad del servicio o del nmero de licencias de software.
En relacin a los cambios al SLA, es importante identificar los criterios para reali-
zarlos y los interlocutores necesarios para aprobar, gestionar e implementar las peti-
ciones de cambio (RFC) relacionadas con el servicio. Normalmente los criterios se
basan en la categorizacin y urgencia, o impacto del cambio.
Los aspectos de la continuidad ante desastres y seguridad del servicio tambin son
temas para analizar e incorporar al SLA:
Se debe contemplar si el servicio est sujeto a planes para la continuidad de
los servicios TI, describiendo brevemente las condiciones que marcan la acti-
vacin del plan y cmo ponerlo en marcha.
Detalles de los objetivos de servicio reducidos o modificados en caso de
desastre (si no existe un SLA especfico para tales situaciones).
Informacin relacionada con la seguridad, especialmente aquellos aspectos
que sean responsabilidad del cliente (por ejemplo, copias de seguridad, cam-
bios de contrasea, etc.).
En el acuerdo de servicio es importante recoger los detalles sobre los costes, pero-
dos y frmulas de facturacin (si se factura).
Se deben detallar los contenidos, frecuencia y distribucin de los informes, as
como, la frecuencia de las reuniones para la revisin del servicio.
En la figura 6.1.10 se muestran los conceptos que se deben incluir en un SLA, ali-
neados con las recomendaciones de la Norma ISO/IEC 20000-2.
El acuerdo de nivel de servicio es el contrato que TI firma con sus clientes, en torno
a este acuerdo todas las reas y procesos de la organizacin deben enfocar su activi-
dad para velar por su cumplimiento.
214 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Segn ITIL, hay diversas formas de establecer los SLA: basado en el servicio,
basado en el cliente y multinivel.
SLA basado en el cliente. Soporta un acuerdo con una rea cliente especfica, que
cubra todos los servicios que utilizan. Por ejemplo, se puede llegar a acuerdos con
el departamento de finanzas de una organizacin para cubrir, por ejemplo, el sis-
tema financiero, el de contabilidad, el de nminas, la facturacin y otros servicios
que utilicen.
A menudo, los clientes prefieren este acuerdo, ya que cubren todos sus requisitos
con un solo documento. Slo se requiere una firma, lo que simplifica su gestin y
evolucin posterior.
Nivel corporativo
UNE-ISO/IEC 20000-2
En relacin a la gestin del SLA los principales temas a tener en cuenta son:
Redaccin de los acuerdos. La redaccin de los SLA deber ser clara y concisa,
sin dejar lugar a la ambigedad. Generalmente no es necesario que los acuerdos
estn redactados utilizando una terminologa legal; en realidad la utilizacin de
un lenguaje claro ayudar a una mejor comprensin. Como comprobacin resulta
muy til que una persona independiente, que no est implicada en la redaccin
del documento, realice una lectura final del mismo. Esta revisin suele poner de
218 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
manifiesto las posibles ambigedades y dificultades, lo que nos permite tomas las
medidas oportunas de revisin y aclaracin.
Tambin merece la pena recordar que los acuerdos de nivel de servicio pueden dar
cobertura a los servicios ofrecidos a diferentes comunidades lingsticas, por lo que
es necesario contemplar la disponibilidad de los SLA en los diferentes idiomas. En
este aspecto hay que dedicar un especial cuidado a la terminologa, ya que un SLA
puede revisarse en diferentes pases y, por tanto, puede ser necesario considerar los
aspectos de terminologa, estilos y diferencias culturales.
Firma del acuerdo. Este aspecto es esencial para que el SLA acordado tenga la
suficiente credibilidad por las dos partes, por lo que hay que garantizar que al tr-
mino del proceso de redaccin y negociacin, el acuerdo de nivel de servicio sea
firmado por los cargos apropiados, tanto del lado del cliente como del proveedor
de TI.
Esto garantizar el compromiso de que ambas partes intentarn hacer todo lo que
sea posible para cumplir los SLA firmados. De forma general, cuanto ms alta sea
la jerarqua de los firmantes, mayor ser esta garanta.
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 219
Una vez firmado y cerrado el acuerdo de nivel de servicio se debe formalizar den-
tro de la organizacin TI como un activo ms, y por tanto estar sujeto al control
de gestin del cambio, mediante la correspondiente formalizacin de una peticin
de cambio. A partir de este punto, cualquier modificacin estar sujeta a la gestin
y aprobacin del proceso de gestin del cambio.
Difusin de los SLA. Una vez cerrado el SLA, es fundamental utilizar una buena
promocin y difusin que permita asegurar que los clientes y las diferentes reas del
proveedor de servicios TI estn enterados de su existencia y de los objetivos clave.
En este punto es clave que el centro de servicio al usuario tenga conocimiento de
los contenidos de los SLA, ya que es el primer punto de contacto de los incidentes,
consultas y quejas de los clientes. Si el personal del centro de servicio al usuario no
est bien informado de los SLA en vigor y no acta en consecuencia, los clientes
perdern rpidamente su confianza en estos acuerdos.
Revisin de los SLA. Los acuerdos del nivel de servicio deben revisarse peridica-
mente con los clientes para garantizar si an son validos y adecuados a las necesida-
des del negocio y las capacidades de la organizacin TI, por ejemplo, anualmente
en lnea con el ciclo financiero.
UNE-ISO/IEC 20000-1
Los SLAs se deben revisar peridicamente por las partes, para asegurar que se
encuentran actualizados y continan siendo eficaces con el transcurso del tiempo.
estn consiguiendo los objetivos. Todas las medidas acordadas se deberan registrar
en las actas, y se debera revisar el progreso y los resultados obtenidos en la
siguiente reunin.
UNE-ISO/IEC 20000-2
Los servicios de soporte de los cuales trador de servicios. Esto incluye los grupos
depende el servicio prestado se deberan internos que proveen parte del servicio
documentar y acordar con cada suminis- ofrecido por el proveedor del servicio.
Estructura de un acuerdo de
nivel operativo (OLA)
Introduccin:
Objetivo y alcance.
SLA de referencia.
Unidad TI que lo soporta.
Requerimientos:
Acuerdos del servicio.
Descripcin del nivel de servicio (SLA).
Plan de proyecto del servicio interno.
Objetivo y alcance del servicio.
mbito de aplicacin.
Funcionalidades proporcionadas.
Responsables involucrados:
Responsable de planificacin e implantacin de
servicios nuevos o modificados.
Responsable de gestin de nivel de servicio.
Responsables de procesos/departamentos
afectados.
Responsables de otros procesos/departamentos
involucrados.
Fuente: Telefnica.
Introduccin:
Objetivo y alcance.
SLA y OLA de referencia.
Nombre del suministrador. Unidad TI que lo soporta.
Requerimientos:
Acuerdos de nivel de servicio (SLA) y
operativos (OLA).
Plan de proyecto del servicio.
Condiciones comerciales:
Coste del servicio y forma de pago.
Responsables involucrados:
Responsable de planificacin e implantacin de
servicios nuevos o modificados.
Responsable de nivel de servicio.
Proveedores de servicios externos.
Fuente: Telefnica.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-1
Las acciones de mejora definidas durante este proceso se deben registrar y constitu-
yen una entrada al plan de mejora del servicio.
en todos los aspectos relacionados con la satisfaccin de las necesidades del cliente
mediante servicios ya disponibles en el catlogo o mediante la confeccin o revi-
sin de los acuerdos del nivel de servicio. Una vez puesto en marcha el servicio, ges-
tin de nivel de servicio rinde cuentas al cliente sobre los niveles de servicio
alcanzados y analiza conjuntamente las opciones de mejora.
En el caso del proceso de planificacin e implantacin de servicios nuevos o modi-
ficados, la interrelacin sigue un esquema similar: las relaciones con el negocio se
encargan de entender al cliente y el establecimiento de los requisitos, mientras que
la gestin de nivel de servicio proporciona un catlogo de servicios actualizado y la
definicin del acuerdo de nivel de servicio (SLA).
El proceso de generacin de informes del servicio produce los informes que nece-
sita la gestin de nivel de servicio para informar a los clientes y a TI sobre los nive-
les de servicio. Los informes deben contemplar informacin relevante de forma
que permita analizar aspectos clave del servicio, como su rendimiento, cargas
de trabajo, cumplimiento de los compromisos con los clientes (SLA), incidentes
graves, etc. Los informes deben servir para la gestin de los servicios y la defini-
cin de acciones correctoras y de mejora de los servicios.
El proceso de elaboracin de presupuestos y contabilidad de los servicios de TI
proporciona la informacin econmica necesaria para la toma de decisiones en
cuanto a los niveles de servicio y para que los compromisos se asuman con un
conocimiento preciso de los costes.
Con el resto de procesos, la gestin de nivel de servicio establece el valor de los
parmetros en SLA que se pueden cumplir por TI, para posteriormente realizar el
seguimiento de los mismos. As, con la gestin de la continuidad y disponibilidad
se establecern los umbrales de los SLA de emergencia y los valores de disponibili-
dad y de rendimiento de los servicios; con la gestin de la seguridad los temas rela-
tivos al nivel de seguridad a comprometer; con la gestin de la capacidad se defi-
nen las necesidades de proceso, almacenamiento, etc.
La relacin con la gestin del cambio es de las ms fundamentales, pues gestin de
nivel de servicio (como todos los otros procesos) no puede cambiar nada que no
est validado por la gestin del cambio. Por ello, se deben generar peticiones de
cambio antes de crear un nuevo SLA o de modificar uno existente, as como para
ejecutar las modificaciones derivadas de los planes de mejora del servicio.
En relacin con el rea de desarrollo de aplicaciones, el proceso de planificacin y
diseo de infraestructuras y el de operacin del servicio, se tratan los requisitos a
cumplir por cada una para la satisfaccin de los niveles de servicio. Los compromisos
con cada una de estas partes se formalizarn en un acuerdo de nivel operativo (OLA).
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 231
Figura 6.1.17. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 233
En la figura 6.1.18 se muestra un esquema con los roles para este proceso.
234 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
Responsable del
proceso SLM
Gestores del
nivel de servicio
Gestores de otros
procesos y reas TI
SGSTI
Administrador
catlogo de servicios Administrador y
soporte del proceso
Propietario del
modelo (SGSTI)
Resumen
El proceso de gestin de nivel de servicio es clave para cumplir con las expectativas
de los clientes de TI, manteniendo y mejorando la estabilidad de los servicios ya
que regula y controla toda la cadena de aseguramiento de los acuerdos de nivel de
servicio firmados con los clientes.
El proceso mantiene la calidad y fiabilidad de los servicios, velando, tanto por la
creacin de SLA fiables y acordes con las necesidades del negocio, como por el con-
trol y mejora reactiva/proactiva que permiten mejorar la calidad de la prestacin de
los servicios de TI. Este proceso trabaja en estrecha colaboracin con los procesos
y con las reas tcnicas.
6. Procesos de provisin de servicio
6.1. Gestin de nivel de servicio 235
Los principales elementos que componen el proceso son: el responsable del pro-
ceso, el catlogo de servicios, los SLA, los OLA, los UC y los programas de mejora
del servicio (SIP).
Beneficios
La mejora en la calidad y la reduccin de las interrupciones del servicio, que aporta
una efectiva gestin de nivel de servicio, permite la obtencin de ahorros econmi-
cos significativos. Por un lado, el cliente puede realizar sus funciones de negocio de
forma predecible y minimizar el impacto negativo en sus actividades mediante el
cumplimiento de los acuerdos de servicio establecidos y la planificacin de paradas
de mantenimiento del servicio, y por otro, la organizacin TI gastar mucho menos
tiempo y esfuerzo al tener menos incumplimientos de SLA que resolver.
Entre los beneficios de la gestin de nivel de servicio se pueden destacar:
La prestacin del servicio TI se disea para satisfacer los requisitos del servi-
cio de los clientes.
Permite mejorar las relaciones con los clientes.
Las dos partes firmantes del SLA tienen una visin clara de sus funciones y
responsabilidades, evitando posibles omisiones o malentendidos.
Se tienen objetivos especficos y acordados, con los que se puede comparar y
medir la calidad del servicio; si no aspira a nada, probablemente eso sea lo
que consiga.
Permite centrar el esfuerzo en TI en los servicios clave para el negocio.
La monitorizacin de los servicios facilita la identificacin de reas de debili-
dad, permitiendo emprender las acciones resolutivas que sean necesarias,
mejorando as la calidad de los futuros servicios.
El seguimiento realizado por este proceso permite identificar fallos en los
servicios motivados por acciones de los usuarios, pudiendo definir acciones
de mejora, como por ejemplo, la formacin.
La actividad de gestin de nivel de servicio refuerza la gestin y relacin con
las reas internas de TI y con los suministradores externos gracias a su inte-
gracin en la cadena de aseguramiento de los SLA de los clientes, todos tie-
nen un objetivo comn.
Los SLA constituyen el elemento bsico para poder realizar la facturacin de
los servicios TI a los clientes segn los niveles de servicio requeridos.
236 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es la estructura del catlogo de servicios de su organizacin
deTI?
Cul es la estructura de los SLA de su organizacin?
Cmo estn estructuradas internamente las unidades o grupos de su
departamento de TI de cara a la realizacin de OLA?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 237
Para que la gestin del servicio aporte valor real a la organizacin de TI y al nego-
cio, debe disponer en tiempo y con calidad de la informacin que permita la
correcta toma de decisiones. La centralizacin de todos los informes en un nico
punto aporta grandes ventajas en la realizacin de esta labor incomprendida, pues
responsabiliza a un proceso de la definicin general de las polticas de informes y
de su generacin. Los informes deben ser fiables, precisos y entregados a tiempo.
Los informes de TI destinados al negocio deben contener medidas significativas y
entendibles por l que permitan ayudarle a alcanzar sus objetivos estratgicos. La
precisin y fiabilidad de los valores aportados son clave en la relacin con el cliente.
Asimismo, la puntualidad en la entrega de los informes de nivel de servicio, segn
lo comprometido en los SLA, junto con los aspectos reseados anteriormente,
aportan confianza al cliente en la relacin.
240 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los informes deben mantener una continuidad a lo largo del tiempo, represen-
tando conceptos similares y su evolucin histrica. Para ello, disponer de un repo-
sitorio con todos los indicadores y sus mediciones ser una de las primeras activi-
dades que se deben realizar. Para la creacin de este repositorio o base de datos hay
varias alternativas, como utilizar la solucin que habitualmente incorporan las
herramientas de gestin del servicio o como crear uno nuevo utilizando las herra-
mientas habituales de anlisis de datos e inteligencia de negocio (data warehouse,
data mart, extraccin de datos, etc.). En organizaciones pequeas se puede empe-
zar con una simple hoja de clculo.
Es importante que los informes reflejen la evolucin histrica de los indicadores
que contienen, pues en la gestin del servicio de TI son tan esenciales las tenden-
cias como los valores puntuales de un perodo.
Los informes deben entregarse a tiempo, en el momento en que se necesiten, para
conocer la situacin o para tomar decisiones. Para conseguirlo es necesario dispo-
ner de las herramientas adecuadas que faciliten la laboriosa tarea de su confeccin.
El cumplimiento sistemtico en las fechas de entrega de los informes permitir que
las decisiones se tomen a tiempo y marcar una pauta rtmica de trabajo en toda la
organizacin.
242 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Hechos
ocurridos Niveles
de servicio
Cuadros
de mando
Poltica Diseo de
de informes informes Realizacin Informes
de informes
KGI
Panel de
control
KPI
Indicadores
Arquitectura
de mtricas
Monitorizacin
Base de datos de
indicadores y mediciones
Cuadro de mando integral (BSC, Balanced Score Card). Trmino difundido por
Kaplan y Norton para mostrar el estado de una empresa en base a objetivos e indi-
cadores agrupados en cuatro perspectivas: econmica, cliente, interna y crecimiento.
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 243
Cuadro de mando de TI. Conjunto de indicadores que muestran una visin glo-
bal del estado de TI. Contiene indicadores globales. Resume en un informe los
indicadores ms relevantes sin respetar las cuatro perspectivas clsicas de Kaplan y
Norton.
Indicador objetivo (KGI, Key Goal Indicator). Indicador que muestra una caracte-
rstica clave o general. Trmino utilizado en COBIT. Se utiliza para determinar los
indicadores ms importantes de TI (por ejemplo, el tiempo que se tarda en crear
un nuevo servicio de TI o time-to-market). Dado que la organizacin de TI suele
244 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
estar dividida por lo menos en tres reas (desarrollo, sistemas o centro de proceso
de datos y microinformtica o puesto de trabajo), los KGI se agrupan a su vez en:
KGI-TI. Indicador objetivo general o comn a todo el rea de TI o indica-
dor de gobierno de las TI.
KGI-CPD. Indicador objetivo del rea de explotacin de sistemas o del cen-
tro de proceso de datos (CPD).
KGI-PT. Indicador objetivo del rea del puesto de trabajo (PT) formado por
microinformtica ms las redes.
KGI-DES. Indicador objetivo del rea de desarrollo de aplicaciones.
Informe del servicio. Es un informe sobre los servicios que presta TI indicando
el grado de cumplimiento de los niveles de servicio, los hechos ms relevantes en el
perodo con relacin al servicio (incidentes, problemas, evolucin, etc.).
Niveles de servicio. Son los valores mnimos o mximos de los indicadores pacta-
dos con el cliente que deben cumplir los servicios de TI prestados.
Polticas de informes. Documento que establece los principios que deben cumplir
los informes de una organizacin.
Las entradas de soporte que utiliza el proceso son los acuerdos de nivel de servicio,
que informan sobre los umbrales que se utilizarn en los informes; las estrategias
del negocio y de TI, para la confeccin de la arquitectura de mtricas y el diseo de
los informes tipo; datos externos de benchmarking del mercado con ratios compara-
tivos, con el fin de comparar los valores de los indicadores internos con los externos.
Las salidas principales del proceso son: los cuadros de mando actualizados necesa-
rios (global de TI, del CPD, del Puesto, de Desarrollo, etc.); los informes del servi-
cio prestado; el panel de control de TI; otros tipos de informes sobre acciones, pro-
yectos, iniciativas, etc.; las polticas de informes generadas que marcan las
directrices del proceso.
Como salidas secundarias del proceso destacan: la base de datos de indicadores y
mediciones actualizada, el repositorio generado por el proceso que almacena los
datos necesarios para la confeccin de los informes; la propia arquitectura de mtri-
cas creada y actualizada; las diversas plantillas que conforman los informes tipo; las
alertas generadas por haberse sobrepasado los umbrales de nivel de servicio, etc.
Las actividades del proceso son:
Definicin de la poltica de informes. En la que se define el alcance del proceso,
las responsabilidades sobre los datos y los informes, su difusin, etc.
Hay que sealar que en numerosos casos, la implementacin de stas y otras herra-
mientas requeridas por el proceso de generacin de informes de servicio se limitar
a establecer las interfaces con las herramientas ya implementadas dentro de otros
procesos (un caso general es la integracin con las herramientas de monitorizacin
y operacin).
Generacin de informes. En esta actividad se generan los informes con los resul-
tados de los indicadores o mtricas obtenidas. Los informes deben ser tiles y no
unos meros portadores de datos. Por ello, adems de los datos, deben incorporar
anlisis de la informacin, revisin de los resultados obtenidos, descripcin de los
hechos relevantes en el perodo, etc. (aunque estos anlisis, en muchos casos, este
proceso slo se encargue de hacer que otros lo realicen). Como resultado de esta
actividad y, en funcin del destinatario y la periodicidad establecida, se generan los
informes del servicio. Tambin es clave que los informes reflejen el resultado de la
comparacin entre los valores de indicadores obtenidos y los valores objetivo o
umbrales de referencia.
La generacin de informes toma como punto de partida los datos ya recopilados
en la base de datos de indicadores y mediciones, y de los informes tipo, para la
248 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
generacin de los informes. En una primera fase, el proceso genera los informes en
modo borrador, para que sean completados y comentados por cada uno de los pro-
cesos o reas involucradas. Por ello, esta actividad debe perseguir a los responsables
para que revisen y complementen con informacin estos borradores.
Supervisin del funcionamiento del proceso y mejora del mismo. Al igual que
en resto de procesos, el responsable del proceso debe supervisar la eficacia del pro-
ceso, la calidad de los datos contenidos y la entrega a tiempo de los informes.
Una de las facetas importantes de esta actividad es comprobar y conseguir que los
informes sean utilizados por sus destinatarios y que cumplan su misin de infor-
macin, seguimiento o ayuda a la toma de decisiones para los que fueron creados.
Es tambin responsabilidad de esta actividad impulsar en los otros procesos la
generacin de los planes de mejora derivados del anlisis de los informes. Un ejem-
plo claro de esto es el proceso de gestin de nivel de servicio, que vela por que se
subsanen de forma inmediata las roturas de niveles de servicio detectadas en los
informes, desarrollando las iniciativas de mejora. Adems, dado que los informes
llevan tambin integrada la tendencia de evolucin de los indicadores, se podr
detectar anticipadamente el riesgo de incumplimiento de los niveles de servicio
para adoptar las medidas proactivas necesarias.
Todas las mejoras detectadas se incorporarn al plan general de mejora de TI, sin
que por ello, se dejen de ejecutar las acciones correctoras inmediatas.
UNE-ISO/IEC 20000-2
Poltica
Los requisitos para la generacin de infor- tradores subcontratados por stos, los
mes para clientes y para gestin interna informes deberan reflejar las relacio-
se deberan acordar y ser registrados. nes entre ellos. Por ejemplo, un sumi-
nistrador principal debera informar
La supervisin del servicio y la genera-
sobre la totalidad del servicio que
cin de informes abarcan todos los
presta, incluyendo cualquier servicio
aspectos medibles del servicio, propor-
realizado por un tercero y que forme
cionando datos actuales e histricos.
parte del que el suministrador principal
Cuando existan mltiples proveedores, gestiona como parte del servicio al
suministradores principales y suminis- cliente.
Cuadros
Tendencias de mando
Benchmarking
Gobierno
Informe mensual
ejecutivo
Verbal
Mtricas servicio
Gestin
Alertas
Inventarios
Documentacin Monitorizacin
Cualitativa Cuantitativa
Fuente: Telefnica.
En la figura 6.2.7 se muestra esta estructura por capas y el mbito de cada indica-
dor (arquitectura de mtricas) y su relacin con los informes asociados.
Fuente: Telefnica.
Intuitiva. Cada miembro expresa de forma intuitiva las mtricas que consi-
dera ms relevantes. La visin intuitiva es muy importante y se utiliza varias
veces en el ciclo de definicin del mapa de indicadores.
En base a un mix de experiencias (propias y ajenas). La experiencia y la
historia de los indicadores internos y los aportados por organizaciones exter-
nas, conforman la base para la primera propuesta.
Seguimiento de COBIT al 100%. En este caso se toma el estndar COBIT
y de l se extraen indicadores.
Seguimiento de ITIL al 100%. Al igual que en el caso anterior, ITIL se
toma como la nica referencia.
Mix de modelos: ITIL + COBIT. Se toman los procesos ITIL como base, y
se buscan indicadores proporcionados tanto por ITIL como por COBIT, o
bien que resulten complementarios a efectos de completitud de la informacin.
Alineacin con el negocio. El eje conductor de todo el ejercicio de selec-
cin de indicadores se articula en torno a la estrategia del negocio, identifi-
cando los objetivos de la empresa y los objetivos definidos de TI.
Perspectiva BSC
Tipos de objetivos de negocio en COBIT
del negocio
1 Expandir el porcentaje de mercado.
2 Aumentar el ingreso.
Perspectiva
3 Retorno sobre la inversin.
financiera
4 Optimizar el uso de recursos.
5 Administrar los riesgos del negocio.
Se pasa a la Etapa II, en la que se identifica la estrategia seguida por TI. Igualmente
el resultado es una lista corta de objetivos de TI. En la figura 6.2.11 se muestran
los objetivos tipificados en COBIT para los objetivos de TI.
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 257
1 Responder a los requerimientos del negocio en alineacin con la estrategia del negocio.
2 Responder a los requerimientos de gobierno en lnea con el consejo de direccin.
3 Asegurar la satisfaccin de los usuarios finales con los servicios y niveles de servicio ofrecidos.
4 Optimizar el uso de la informacin.
5 Crear agilidad en TI.
6 Determinar cmo las necesidades funcionales y de control del negocio son traducidas en soluciones
automticas efectivas y eficientes.
7 Adquirir y mantener sistemas y aplicaciones estandarizados.
8 Adquirir y mantener infraestructuras de TI integradas y estandarizadas.
9 Adquirir y mantener tcnicas en TI que respondan a la estrategia de las TI.
10 Asegurar la mutua satisfaccin en la relacin con terceros.
11 Integrar perfectamente aplicaciones y soluciones tecnolgicas dentro de los procesos de negocio.
12 Asegurar la transparencia y comprensin de los costes, beneficios, estrategias, polticas y servicios de TI.
13 Asegurar el correcto uso y funcionamiento de las aplicaciones y soluciones tecnolgicas.
14 Responder por todos los activos de TI y protegerlos.
15 Optimizar las infraestructuras, recursos y capacidades de TI.
16 Reducir los defectos y adaptaciones en las entregas de soluciones y servicios.
17 Proteger la consecucin de los objetivos de TI.
18 Establecer con claridad el impacto en el negocio de los riesgos en los objetivos y recursos de TI.
19 Asegurar que la informacin crtica y confidencial est protegida de aquellos que no deben tener acceso
a ella.
20 Asegurar que las transacciones del negocio automatizadas y los intercambios de informacin pueden ser
realizadas correctamente.
21 Asegurar que los servicios e infraestructuras de TI pueden resistir y recuperarse correctamente de fallos
debidos a errores, ataques deliberados o desastres.
22 Asegurar el mnimo impacto en el negocio en caso de una interrupcin o cambio en los servicios de TI.
23 Comprobar que los servicios de TI estn disponibles cuando se les requiera.
24 Mejorar la relacin costes-eficiencia en las TI (rentabilidad) y su contribucin a los beneficios del negocio.
25 Entregar los proyectos en tiempo y presupuesto cumpliendo con los estndares de calidad.
26 Mantener la integridad de la informacin e infraestructura de proceso.
27 Asegurar la conformidad de TI con leyes y regulaciones.
28 Asegurar que TI da servicios de calidad con una demostrada eficiencia en costes, mejora continua y
preparacin para cambios futuros.
En la Etapa III, se realiza el cuadre entre las estrategias del negocio y las estrategias
de TI. Para ello se ponen ambas en una matriz y se identifica, para cada cruce, si la
estrategia de TI contribuye o no la estrategia de negocio dada. Con toda esta infor-
macin previa y con el conocimiento preciso del propio negocio y de cmo TI se
alinea con l, se aborda la seleccin de los objetivos de TI (Etapa IV).
258 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
A partir de este punto, para cada objetivo de TI se van identificando los indicado-
res de objetivos (KGI). Para cada indicador de objetivos se identifican los indica-
dores de rendimiento (KPI) que le apalancarn (Etapa V). En esta ltima etapa se
entra en un proceso iterativo en el que se relacionan en una tabla todos los indica-
dores posibles (coctelera de indicadores) seleccionados de diversas fuentes (las
mtricas actuales, las deducidas por un ejercicio intuitivo, las que propone ITIL,
las que propone COBIT, etc.). Con todas estas mtricas clasificadas, se estructuran
los tres niveles (KGI-TI, KGI-Proceso y KPI), o los establecidos por la arquitec-
tura de mtricas que hayamos creado, y se realiza una seleccin intuitiva de las que
ms contribuyen a los objetivos concretos de TI.
3 Alcance de la arquitectura.
3 Antecedentes en la organizacin.
3 Estrategia de la empresa. Objetivos de negocio
identificados.
3 Estrategia de TI. Objetivos de TI identificadas.
3 Alineacin de TI con el negocio. Matriz cruce
objetivos negocio frente a TI.
3 Estructuracin en capas de la arquitectura.
3 Mtricas de objetivos de TI (KGI-TI).
3 Mtricas de objetivos del rea del centro de datos o
sistemas (KGI-CPD).
3 Mtricas de objetivos del puesto de trabajo (KGI-PT).
3 Mtricas globales de desarrollo (KGI-DES).
3 Fichas detalladas de los indicadores.
3 Etc.
Nombre indicador
Cdigo Proceso Valor mx.
Versin Periodicidad Valor mn.
Categora Ind/KPI/KGI Perspectiva (Norton y Kaplan) Valor mn. (Alza-Baja)
Especificacin
Justificacin
Audiencia Responsable
Restricciones Padres (KPIs o KGIs a los que contribuye)
Frmula
Fuente: Telefnica.
Fuente: Telefnica.
Los informes en TI
En relacin a los informes, la Norma ISO/IEC 20000-1 requiere que los mismos
estn identificados y que se verifique el cumplimiento de los requisitos y necesi-
dades del negocio. Tambin establece los conceptos mnimos a cubrir en los
informes.
UNE-ISO/IEC 20000-1
Las decisiones de gestin y las acciones correctivas deben tener en cuenta los aspectos
destacados en los informes de servicio y deben comunicarse a las partes afectadas.
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
Informes de servicio
a) comportamiento frente a objetivos
El proveedor del servicio debera generar de nivel de servicio, por ejemplo
informes para los clientes y para la direc- informes de cadas del servicio,
cin, que cubran los siguientes aspectos: logros;
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 265
destacadas, los cambios ms relevantes o los volmenes de actividad del da. Estos
informes son descriptivos de lo acontecido en el da y no suelen contener grficos de
indicadores.
Figura 6.2.18. ndice ejemplo de los informes diario y semanal del servicio
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 269
Fuente: Telefnica.
Dentro del informe mensual del servicio (en la figura 6.2.20 se muestra un ejem-
plo), uno de los apartados ms relevantes es el relativo al anlisis de la disponibili-
dad de los servicios. En el ejemplo se muestran las cifras alcanzadas por cada uno
de los servicios en el mes, junto a una grfica de la evolucin mensual del indica-
dor, representando tambin la disponibilidad de los servicios crticos. Como en
todos los informes, se deben comentar los aspectos ms destacados relativos al
asunto que se est tratando (disponibilidad, etc.) que hubieran ocurrido en el mes,
as como las acciones de mejora emprendidas.
Fuente: Telefnica.
Responsable de la
gestin del servicio
Gestor del
proceso de informes
Consultor
de mtricas
Gestores de otros
procesos y reas TI
SGSTI
Responsable de generacin
de los informes
Especialistas en el Administrador y
Propietario del
modelo (SGSTI) diseo del servicio soporte del proceso
Resumen
Los indicadores e informes son una necesidad innegable en una gestin con cali-
dad de TI, pero su generacin ha sido siempre una de las asignaturas pendientes de
las organizaciones, muy centradas en la tecnologa y el da a da, y poco en el
gobierno y la gestin.
El proceso de generacin de informes de servicio centraliza las arduas activida-
des de recopilacin de indicadores e informacin, para generar unos informes
con la calidad del dato contrastada, en los plazos convenidos y con la mxima
eficiencia.
276 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Aunque en las Normas ISO/IEC 20000 los requisitos para el proceso son ms
reducidos, en este apartado se han desarrollado en toda su amplitud, con el fin de
llevar a las organizaciones de TI a la excelencia.
La generacin de informes pasa por la definicin de una poltica de informes, que
marque las directrices a cumplir en cuanto al suministro de informacin.
Un segundo paso recomendado, es la creacin de una arquitectura de mtricas, que
defina y estructure los indicadores a medir, poniendo orden y posibilitando la con-
tinuidad en las mediciones.
Las organizaciones situadas en las mejores prcticas, disponen de una base de datos
centralizada (o bien federada) en la que incorporan las definiciones de los indica-
dores y todos los histricos de las mediciones.
Los principales informes de TI van ms all de representar nicamente cifras sobre
cumplimiento de los niveles de servicio. El alcance de los informes abarca todo tipo
de informacin analtica y descriptiva. Tambin se considera dentro del alcance a la
informacin mostrada en vivo. As, los principales informes son:
Informes del servicio: diarios, semanales, mensuales y anuales.
Cuadros de mando de TI.
Informe financiero de TI.
Informe de capacidad.
Informe de disponibilidad.
Informe de continuidad de TI.
Informe de mejora global: SIP + procesos.
Informe de cada proceso.
Lista de cambios planificados (FSC).
Informes de proyectos e iniciativas estratgicas.
Informe de problemas.
Tambin se consideran dentro del alcance del proceso los paneles de control, con
grficas que muestran en tiempo real el estado de los servicios y las infraestructu-
ras, as como, los informes generados de forma instantnea (por ejemplo, va web).
Para poder tratar el ingente volumen de datos, es necesaria la mxima automatiza-
cin, desde la captura de las mediciones mediante las herramientas de monitoriza-
6. Procesos de provisin de servicio
6.2. Generacin de informes del servicio 277
cin, pasando por la carga a la base de datos referida anteriormente, hasta llegar a
la generacin instantnea (online) de los informes.
La fiabilidad y la calidad de los datos son esenciales para que los informes sean de
utilidad.
Muchos de los informes contienen tambin tendencias, descripciones y anlisis de
las actividades y sucesos ocurridos en el perodo.
Beneficios
Los principales beneficios aportados por el proceso de generacin de informes son:
La centralizacin de la generacin de informes en un proceso facilita la espe-
cializacin, y permite al resto de procesos y reas de TI centrarse en sus
cometidos.
Los informes y las mtricas se disean y gestionan de forma comn.
Los informes se planifican con una visin comn de las necesidades de TI y
de los clientes, lo que permite ms claridad y concisin. Adems se ofrece
una visin ms homognea sobre toda la actividad de TI.
Cada rea recibe los informes que necesita y con la periodicidad acordada.
Es ms fcil garantizar que la informacin es fiable. Existe un responsable de
cada dato y de cada informe.
El diseo comn por especialistas facilita que la informacin sea ms clara y
entendible por los destinatarios.
Se centralizan en un punto todos los indicadores y todas sus mediciones.
Con lo cual, cualquier cambio o nuevo informe ser ms fcil de implemen-
tar, al tener la informacin histrica registrada.
La centralizacin facilita la creacin una plataforma comn para la genera-
cin y difusin de los informes. Adems, la dedicacin especfica a esta acti-
vidad aumenta la productividad en la generacin de informes.
La organizacin de TI conoce los resultados de su trabajo, con claridad y a
tiempo. Por tanto, mejora su motivacin.
La comunicacin e informacin clara y a tiempo permite mejorar la satisfac-
cin de los clientes.
278 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cules son los 10 indicadores principales que se utilizan en su orga-
nizacin
Enumere los informes generados en un ao en el mbito de TI en su
organizacin
Qu aporta los marcos de ITIL y COBIT a los indicadores e informes?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
99,99%
lleven a cabo las tareas definidas, muchas de ellas, con una visin a futuro que com-
pite con las prisas y sobrecarga que conlleva el da a da de los servicios.
Como es normal, las Normas ISO/IEC 20000 no definen una estructuracin de las
actividades que se deben realizar. Por eso, en este apartado se detalla el proceso
tomando como base la estructura para la gestin de la continuidad de cuatro blo-
ques utilizada en ITIL v2:
Inicio o implementacin del proceso.
Definicin de los requerimientos y de la estrategia a seguir en el proceso.
Implementacin de las soluciones.
Gestin operativa del proceso.
Sobre estos bloques se detallan las actividades que se deben realizar y se aade un
quinto con las actividades de mejora del proceso, tpicas de estas normas.
En la figura 6.3.4 se muestran las diversas estructuras que se dan al proceso de ges-
tin de la disponibilidad en las versiones 2 y 3 de ITIL. Aunque las agrupaciones y
denominacin de las actividades difieren, el concepto de fondo en el proceso es
siempre el mismo.
Inicio: Inicio:
Definir poltica continuidad. Fijar poltica continuidad.
mbito de la continuidad. mbito de la continuidad.
Definicin e inicio proyecto continuidad. Inicio del proyecto continuidad.
Requerimientos y estrategia: Requerimientos y estrategia:
Anlisis impacto en el negocio. Anlisis impacto en el negocio.
Evaluacin del riesgo. Evaluacin de riesgos.
Definicin estrategia continuidad negocio. Definicin estrategia continuidad de TI.
Implementacin: Implementacin:
Organizacin y planificacin implementacin. Desarrollo planes continuidad de servicios TI.
Desarrollo planes de recuperacin. Desarrollo planes TI, planes recuperacin y
Implementar medidas de reserva. procedimientos.
Implementar medidas reduccin del riesgo. Planificacin de la organizacin.
Desarrollar los procedimientos. Prueba de la estrategia.
Pruebas iniciales. Gestin operativa:
Gestin operativa: Educacin, concienciacin y formacin.
Educacin y concienciacin. Revisin y auditora.
Revisin y auditora. Pruebas.
Pruebas. Gestin de cambios.
Control de cambios. Invocacin
Formacin.
Aseguramiento.
Anlisis del rbol de fallos (FTA, Fault Tree Analysis). Mtodo de anlisis de los
sucesos ocurridos en un servicio para determinar la causa una interrupcin de
los servicios de TI. Se representa una cadena de sucesos en un esquema en forma
de rbol booleano.
Anlisis de impacto en el negocio (BIA, Business Impact Analysis). Anlisis del
impacto que tendran los riesgos en la actividad de la empresa u organizacin, si se
produjera la parada de una funcin de negocio. Permite identificar y ponderar cu-
les son las funciones de negocio vitales que debern protegerse mediante la dispo-
nibilidad, la continuidad y la seguridad. Este anlisis es fundamental para el des-
arrollo de las actividades de estos procesos.
Anlisis del impacto por el fallo de un componente (CFIA, Component Failure
Impact Analysis). Predecir y estimar el impacto sobre la disponibilidad del servicio
derivada de los fallos de los componentes incluidos en la infraestructura de TI y del
diseo del servicio propuesto. El CFIA de los componentes permitir identificar
los componentes ms dbiles (vulnerabilidad y amplitud del impacto) que requie-
ren establecimiento de contramedidas de refuerzo.
Anlisis de las paradas del servicio (SOA, Service Outage Analysis). Anlisis a
posteriori de las causas de las cadas de un servicio, con el fin de reducir la frecuen-
cia y duracin de las paradas. De forma similar se utiliza el trmino SFA (Service
Failure Analysis). Toma como fuente de informacin los incidentes ocurridos, para
realizar un anlisis forense de cara a mejorar la disponibilidad.
Arquitectura de disponibilidad. Definicin tecnolgica que establece la forma
homognea de construir servicios en la organizacin para que se cumplan los requi-
sitos de disponibilidad. Esta arquitectura establece la redundancia de componentes,
99,99%
DISPONIBILIDAD
GESTIN DE LA DISPONIBILIDAD
Poltica
Inicio Definicin e inicio
del proyecto
Disear para la
Implementacin
disponibilidad
Disear para
Verificar la seguridad Planificar las paradas
la recuperacin
Gestin Mtricas
operativa Supervisar la Investigar y mejorar
Monitorizar
disponibilidad la disponibilidad SUPERVISAR
Informes
UNE-ISO/IEC 20000-1
ISO/IEC 20000-2 recomienda, adems, que se dote de los recursos necesarios para
poder satisfacer estos requisitos en cualquier circunstancia. Insta tambin a que se
trabaje de forma integrada entre la gestin de la disponibilidad y la continuidad.
Tambin detalla el concepto de extremo a extremo mencionado en la parte 1,
incluyendo todos los elementos que sustentan el servicio con independencia de
quin dependan: del proveedor principal o bajo el control, bien del propio cliente,
o de otros proveedores de servicio.
UNE-ISO/IEC 20000-2
se mantengan los niveles de servicio Los procesos que aseguran que se man-
acordados. Estos requisitos deberan tiene la disponibilidad requerida, debe-
tener una influencia capital en las accio- ran incluir aquellos elementos de la
nes, esfuerzos y recursos destinados para provisin del servicio que estn bajo el
satisfacer la disponibilidad de los servi- control bien del propio cliente o de
cios que los soportan. otros proveedores del servicio.
Implementar la disponibilidad
Definidos los requisitos que se deben cumplir, se inicia la fase de implementar el
proceso (o subproceso) de gestin de la disponibilidad. En la implementacin
se realizan las actividades siguientes: disear para la disponibilidad, disear para la
recuperacin, verificar la seguridad, planificar las paradas y mantenimiento, y generar
el plan de disponibilidad.
Clculo de la disponibilidad
Perodo de servicio: 24 x 7 24 x 5 12 x 5
Horas/mes de servicio: 720 horas 480 horas 240 horas
% disponibilidad:
99,999% 25,92 seg 17,28 seg 8,64 seg
99,99% 4,32 min 2,88 min 1,44 min
99,98% 8,64 min 5,76 min 2,88 min
99,90% 43,2 min 28,8 min 14,4 min
99,00% 7,2 horas 4,8 horas 2,4 horas
98,00% 14,4 horas 9,6 horas 4,8 horas
95,00% 1,5 das 24 horas 12 horas
Planificar las paradas (PSO, Projected Service Outage). Parte de la gestin de la dis-
ponibilidad es la gestin del mantenimiento del servicio (planificacin de las para-
das) tanto a efectos propios del mantenimiento como para la incorporacin de
cambios. Organiza las actividades de mantenimiento dentro de los perodos y ven-
tanas (planificaciones de parada para el mantenimiento de los sistemas o para la
implantacin de cambios) en los que se minimiza el impacto sobre la disponibili-
dad del servicio.
Se genera el plan de paradas planificadas (PSO) en el que se definen los perodos
diarios, semanales o mensuales en los que se pueden parar los servicios. Se trata de
un elemento bsico para minimizar el impacto en el negocio de estas actividades.
Adems, las ventanas de parada se suele excluir en el clculo de la disponibilidad
real del servicio.
Plan de disponibilidad
3 Poltica de disponibilidad.
3 Riesgos identificados.
3 Requisitos de la disponibilidad y estrategia.
3 Funciones vitales del negocio (VBF).
3 Directrices de diseo de servicios.
3 Arquitectura de los servicios enfocada a la
disponibilidad y tiempo de respuesta.
3 Definicin de las plataformas tecnolgicas que se
van a utilizar.
3 Horarios de los servicios.
3 Plan de recuperacin y procedimientos.
3 Plan de paradas planificadas (PSO). Ventanas de
mantenimiento y cambio.
3 Requisitos de seguridad.
3 Herramientas de monitorizacin.
3 Mtricas de disponibilidad que se van a utilizar.
3 Modelos de informes de disponibilidad.
3 Fijar los mtodos y tcnicas de anlisis a utilizar.
3 Planificacin de la mejora de la disponibilidad.
3 Anlisis tendencias tecnolgicas.
UNE-ISO/IEC 20000-1
Estas medidas e informes de disponibilidad deben reflejar las perspectivas del nego-
cio, de los usuarios y de la organizacin de soporte. Se analizan las tendencias y
posibles desviaciones, se estudian las tendencias de la disponibilidad de los compo-
nentes de la infraestructura y se comunican los resultados a las partes interesadas.
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
CONTINUIDAD
Las entradas que desencadenan o activan el proceso son: la realizacin del plan de
continuidad de negocio por parte de la empresa, que requiere de TI la realizacin
de su contribucin a este plan; el acaecimiento de una contingencia severa que
activa la ejecucin de los procedimientos de continuidad; la llegada de la fecha pre-
vista de pruebas de continuidad, que inicia el protocolo de pruebas; y la proximi-
dad de la fecha de revisin del plan de continuidad.
Las entradas ms relevantes que utiliza el proceso como informacin de soporte
son: las condiciones solicitadas o pactadas con los clientes en los acuerdos de nivel
de servicio (SLA); la informacin de los principales riesgos que amenazan a TI; los
presupuestos asignados a la continuidad, que condicionan las inversiones; los cam-
bios realizados en las infraestructuras o los servicios que deban contemplarse en las
soluciones de continuidad; la informacin sobre los elementos de configuracin
contenida en la CMDB; y la informacin tcnica diversa para proporcionar solu-
ciones o directrices.
Las actividades del proceso se estructuran en 5 grupos:
Inicio. El primer paso es determinar sobre qu aspectos del negocio y de los
servicios va a actuar la continuidad de TI y sobre cules no.
Definir poltica continuidad. Directrices y objetivos que establece la
direccin y principales responsabilidades.
mbito de la continuidad. Localizaciones, unidades de negocio o servi-
cios que se deben cubrir. Normalmente no se debera restringir el mbito.
Definicin del proyecto de continuidad. Plan detallado del proyecto de
implementacin de la continuidad (de TI). Designacin del responsable
mximo de plan y de los responsables en cada departamento o rea. Pre-
supuesto para la definicin del plan. Posteriormente se tendr que hacer
una dotacin adicional de presupuesto para la implantacin de la solucin
de continuidad. Organizacin de proyecto y estructura de control. Plan de
calidad del mismo. Lanzamiento del proyecto.
GESTIN DE LA CONTINUIDAD
Poltica de continuidad
mbito de la continuidad
Inicio
Definicin e inicio
del proyecto
Estrategia de continuidad
Realizar el plan de
Plan de continuidad TI
continuidad de TI
Pruebas iniciales
Aseguramiento
La descripcin de las funciones vitales del negocio es una actividad clave, que ser
de utilidad para la continuidad, pero tambin para la disponibilidad y para la segu-
ridad. En la figura 6.3.14 se muestra una ficha de ejemplo para la descripcin de
estas funciones de negocio.
La evaluacin de riesgos permite identificar la posibilidad de que ocurra un desas-
tre o alguna interrupcin grave de los servicios. Ofrece una evaluacin de la proba-
bilidad de que ocurra el suceso y la vulnerabilidad o exposicin de la organizacin
99,99%
+10 d
Funcin Impacto datos parada Valor Valor
Criticidad
2d
5d
2h
1d
de negocio negativo admisible admisible normal mnimo
Denominacin,
descripcin de
la actividad y
su importancia
para la empresa
RPO RTO
1
Vase tambin la Norma ISO/IEC Guide 73. Risk management. Vocabulary. Guidelines for use in
standards.
312 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
CRAMM M_o_R
Gestin de riesgos
Activos Amenazas Vulnerabilidades M_o_R polticas
M_o_R aproximacin:
Polticas gestin de riesgos
Anlisis de riesgos Gua del proceso
Riesgos Planes
Gestin de riesgos
Registros del riesgo
Gestin de logs
M_o_R proceso:
Contramedidas Identificar
Evaluar
Planificar
Implementar
Institucionalizar y revisar M_o_R
Comunicar
La Norma ISO/IEC 20000-2 establece claramente los requisitos que se deben con-
siderar en la estrategia de continuidad, indicando adems que se debe revisar por lo
menos una vez al ao, y que los cambios a la misma se deben acordar formalmente.
UNE-ISO/IEC 20000-2
con replicacin de datos entre ellos. Una aplicacin slo est ejecutndose en
uno de los centros y, en caso de necesidad, debe activarse en el otro centro
(de respaldo). Proporciona tiempos de recuperacin inferiores a 24 horas
(RTO), con una prdida de datos (RPO) casi nula si se implementa una
replicacin del almacenamiento por fibra.
Recuperacin intermedia. Conocida como warm standby, utiliza instalacio-
nes de respaldo proporcionadas por terceros. Los plazos de recuperacin
esperados estn normalmente entre las 24 y 72 horas.
Recuperacin gradual. Conocida como cold standby, emplea un centro de
respaldo que nicamente contiene la infraestructura fsica y de conectividad
necesaria. Por lo que, en caso de emergencia, hay que instalar los servidores,
el almacenamiento, las aplicaciones, configurar, etc. Los tiempos de recupe-
racin son superiores a las 72 horas. La informacin se carga desde la ltima
copia de seguridad realizada y llevada a resguardo, por lo que la prdida de
informacin puede ser superior a las 24 horas (RPO).
Acuerdos recprocos. Acuerdos entre empresas u organizaciones para alojar
los servicios en caso de contingencia.
Soluciones manuales. Soluciones provisionales, como por ejemplo, regis-
trar los tickets de incidentes en el service desk en formularios en papel. Tam-
bin comprenden la restauracin de los servicios de forma completa desde
las copias de seguridad.
Implementar la continuidad
Una vez establecida la estrategia de continuidad y los requisitos, se pasa a la elabo-
racin del plan de continuidad de TI y a su implementacin. Es necesario que pre-
viamente se haya aprobado el plan general de continuidad del negocio. En la etapa
de implementacin se realizan las siguientes actividades (segn ITIL):
Organizacin y planificacin de la implementacin, que realiza la elabora-
cin y documentacin del plan de continuidad de TI.
99,99%
Plan de continuidad de TI
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y Telefnica.
esquema del plan articulado en torno al ciclo de vida de la gestin de una con-
tingencia.
En relacin al plan de continuidad, las Normas ISO/IEC 20000 recomiendan una
poltica formal de registro de la documentacin relacionada, la salvaguardia de los
datos de configuracin y, especialmente, de la informacin necesaria para la restau-
racin de los servicios: plan de continuidad, procedimientos, etc.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Plan de recuperacin
3 Estrategia de recuperacin.
3 Procedimiento de invocacin.
3 Interfaces y dependencias con otros planes.
3 Directrices generales.
3 Dependencias: sistemas, infraestructuras, servicios
externos, etc.
3 Lista de contactos: personal TI, personal otras reas,
direccin, suministradores.
3 Grupo de recuperacin: de TI, de servicios
generales, etc.
3 Lista de comprobacin del grupo de recuperacin.
3 Formulario de evaluacin de daos.
3 Procedimientos de recuperacin:
Recuperacin del service desk.
Recuperacin telecomunicaciones.
Recuperacin de la LAN .
Recuperacin de la WAN.
Recuperacin servidores y almacenamiento.
Recuperacin de datos.
Recuperacin de PC.
Recuperacin alimentacin elctrica.
Recuperacin aire acondicionado.
Comunicacin in situ, etc.
Fuente: Libros ITIL Diseo del Servicio y A Guide to Business Continuity Plan publicados por OGC.
Una vez elaborado el plan de continuidad, debe ser difundido y puesto a disposi-
cin de las partes involucradas. El responsable del plan de continuidad de TI debe
formar al personal a su cargo sobre las actuaciones que se debern realizar en el
caso de que se produzca cualquiera de las situaciones identificadas como de emer-
gencia o desastre.
El responsable del plan establece anualmente un plan de pruebas, donde se definen
las pruebas que se deben llevar a cabo para asegurar la actualizacin y eficacia de
todos los planes de continuidad de la organizacin.
UNE-ISO/IEC 20000-1
El plan de continuidad del servicio debe probarse de acuerdo a las necesidades del
negocio.
Todas las pruebas de continuidad se deben registrar y tras las pruebas fallidas se
deben elaborar planes de accin.
99,99%
UNE-ISO/IEC 20000-2
Los planes de continuidad del servicio y Se deberan llevar a cabo pruebas con
la documentacin relacionada (por una frecuencia suficiente para asegu-
ejemplo los contratos) deberan estar rar que los planes de continuidad son
ligados a los procesos de gestin del efectivos y permanecen as an cuando
cambio y de gestin de los contratos. se producen cambios en los sistemas,
Los planes de continuidad del servicio y procesos, personal y necesidades del
la documentacin relacionada (por negocio. El cliente y el proveedor del
ejemplo los contratos) deberan eva- servicio deberan estar implicados con-
luarse respecto al impacto previamente juntamente en las pruebas, basadas en
a que se aprueben los cambios en el un conjunto acordado de objetivos.
sistema y en el servicio, y previamente a Los fallos en las pruebas se deberan
acordar los nuevos requisitos del cliente documentar y revisar para proveer de
o bien cambios en stos siempre que informacin a un plan de mejora del
sean significativos. servicio.
Una vez aprobado el plan de pruebas, que debe ser respaldado por la direccin, se
realizan acciones de comunicacin entre los responsables de los procesos y servicios
implicados, para que estn al tanto de los planes establecidos.
Cada vez que se realice una prueba, el responsable de realizarla dejar constancia
del resultado en el informe de pruebas, que describe las acciones llevadas a cabo y
la eficacia del plan de continuidad. Esta informacin la analiza el responsable del
proceso, que revisa peridicamente la eficacia de los planes para proponer las mejo-
ras que crea necesarias.
Asimismo, el responsable del proceso es el encargado de que los planes de conti-
nuidad se mantengan actualizados y acordes a la situacin actual de la organizacin.
Para ello, peridicamente debe analizar los cambios realizados que pudieran afectar
al plan, como por ejemplo los:
Cambios en los procesos (existentes, nuevos o suspendidos).
Cambios en la estrategia de negocio.
Cambios en los SLA.
Cambios en los acuerdos o contratos con proveedores.
Cambios en la legislacin.
Una nueva evaluacin de riesgos.
Cambios en las ubicaciones, dispositivos y recursos.
322 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Cambios en el personal.
Cambios de direcciones, nmeros de telfono o informacin de contacto.
Responsable de la
gestin del servicio
Gestor continuidad TI
Gestor
disponibilidad
Responsable plan
de continuidad negocio
Gestores de otros
procesos y reas TI Arquitecto tecnolgico Especialista
de soporte
SGSTI
Resumen
La gestin de la disponibilidad y de la continuidad parte de principios muy simila-
res de alineacin con las necesidades del negocio y de creacin de planes, para poste-
riormente divergir en dos disciplinas diferenciadas. La primera es la disponibilidad
que se convertir en el astro rey de los servicios. El porcentaje de disponibilidad ser
la obsesin de todo responsable. La segunda, la gestin de la continuidad, juega a
los dados con el azar y el futuro de la empresa, proponiendo a la direccin impor-
tantes inversiones para garantizar la supervivencia, e intentando sustraer presu-
puesto de las actividades operativas.
Una vez implantados los planes, la gestin de la disponibilidad estar continua-
mente en boca de todos, mientras que la gestin de la continuidad se convertir en
ese profeta que muchas veces predica en el desierto.
La gestin de la disponibilidad tiene por objeto que se alcancen las mximas cotas
de disponibilidad posibles (dentro de las requeridas por el negocio), o por lo menos,
los niveles pactados siempre movindose dentro del mbito presupuestario asig-
nado. La gestin de la disponibilidad trabaja para alcanzar los siguientes resultados:
Tasas de disponibilidad y tiempos de respuesta acordes con lo pactado con el
negocio y, al menos, que sean similares a las de las empresas de la competencia.
Definicin de las directrices de diseo para la disponibilidad. Diseo de
arquitecturas de disponibilidad.
Tipificacin de los servicios en funcin de su criticidad para el negocio.
Generacin y revisin del plan de disponibilidad.
Planificacin y control de componentes de la infraestructura y de los servi-
cios, para asegurar el cumplimiento de las necesidades de disponibilidad
actuales y futuras.
Anlisis de las situaciones de no disponibilidad del servicio, con el fin de
identificar mejoras. Interviene a posteriori, despus de que la gestin del
incidente haya restaurado el servicio.
Mejorar la disponibilidad de la infraestructura.
Controlar que los cambios cumplen con unos niveles de disponibilidad ade-
cuados y fiables.
Beneficios
Los principales beneficios son la obtencin de una correcta disponibilidad y tiempo
de respuesta de los servicios, y una mejora significativa en la garanta de continui-
dad de los servicio de TI.
En cuanto a la gestin de la disponibilidad, los beneficios se resumen en:
El negocio utiliza unos servicios con unos niveles de disponibilidad y tiempo
de respuesta adecuados a sus necesidades.
Los servicios se disean sobre una arquitectura planificada para ofrecer la
disponibilidad deseada.
Los cambios se prueban para verificar el cumplimiento de los criterios de
disponibilidad.
Se identifican los incumplimientos y se investiga su causa.
Los niveles de disponibilidad se monitorizan continuamente y se mejoran
donde sea necesario.
330 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Cules son los principales riesgos a los que estn expuestos los servi-
cios de TI en su organizacin
Cules son las funciones vitales en su negocio?
Qu impacto tendra en su negocio una parada de una hora de los
servicios de TI ms crticos (bien por fallo interno o por desastre)?
2
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 331
La reduccin de los costes de TI lleva siendo, en los ltimos aos, una de las prin-
cipales prioridades de la direccin de sistemas de informacin. El reto est en con-
jugar esta progresiva constriccin presupuestaria con la presencia cada vez mayor
de las tecnologas de la informacin en el negocio. En tiempos de crisis econmica,
el proceso de gestin financiera de TI aporta elementos esenciales de decisin y de
control (vase la figura 6.4.1).
En sentido contrario a la reduccin de costes, ha ido creciendo el nmero de servi-
cios de TI considerados crticos por el negocio. Con la apertura a Internet el
nmero de usuarios se ha disparado y la demanda de nuevas tecnologas en la
empresa se incrementa cada da.
Adems, los antiguamente iletrados usuarios de los sistemas son hoy ciudadanos
de un mundo cada vez ms digitalizado, que exigen a la empresa el mismo nivel
tecnolgico que ellos reciben en su vida privada: un correo con la calidad y capaci-
dad de gmail, entornos colaborativos como los de Internet, un espacio en disco de
red equivalente a su disco USB de bolsillo, etc. Para colmo de males, estos servicios
332 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
son gratuitos o a un coste unas cien veces inferior a los que la empresa puede ofre-
cer a sus usuarios.
Todo ello, genera la sensacin de que los servicios que TI ofrece al negocio son
inflexibles y caros, provocando una percepcin muy negativa en la alta direccin y
en las reas cliente de TI.
Por fortuna, hay algunos apuntes en el haber de TI para equilibrar un poco
la balanza, como por ejemplo las grandes holguras presupuestarias del pasado, la
capacidad actual para poner el foco en lo verdaderamente esencial para la empresa
y el aumento de prestaciones del equipamiento hardware y las nuevas formas de
gestin de TI ms eficientes, como las definidas en ISO/IEC 20000 o en ITIL.
La adopcin de las mejores prcticas en la gestin econmica o financiera de TI y
otras medidas de eficiencia y calidad, aportarn una solucin a este callejn sin
salida de hacer ms con menos presupuesto. Estas prcticas proporcionan instru-
mentos para responder a los retos de reduccin de costes en un entorno de negocio
cada vez ms exigente e impulsa a las organizaciones de TI hacia una gestin efi-
ciente de los recursos. Aunque en realidad, la gestin financiera no permite por s
sola la reduccin de costes o el hacer ms con menos, necesita la existencia del
resto de procesos.
Una gestin econmica avanzada de los servicios de TI est caracterizada por:
La definicin de unas polticas de gestin econmica o financiera de TI.
La elaboracin precisa y formal de los presupuestos anuales y el seguimiento
con rigor de su evolucin.
La realizacin de una contabilidad analtica de los costes, que permite el
conocimiento al detalle de los costes de TI en la provisin de los servicios.
La imputacin de costes a las reas cliente mediante una facturacin acorde
con los servicios ofrecidos, para contrapesar la demanda con los costes reales.
Hay que sealar que esta actividad no est dentro del mbito de la Normas
ISO/IEC 20000, si bien es una actividad muy recomendable y, por ello, tra-
tada en este libro.
est ante una actividad que es la especialidad de otro departamento y ante el que TI
es uno ms.
Por todo lo anterior, el enfoque de este proceso debe ser algo diferente al resto de
los procesos de TI. Muchas de las descripciones realizadas en este proceso son ms
bien explicaciones simplificadas de las disciplinas econmicas y van destinadas al
personal de TI para que realice adecuadamente la parte que les corresponde en la
gestin financiera. En este proceso no se pretende dar ningn tipo de leccin a los
profesionales de las finanzas.
El proceso de gestin financiera de TI debera conseguir que las necesidades y requisi-
tos particulares de TI se incorporen en los sistemas financieros y contables de la
empresa. Desde la estructura de los presupuestos hasta la contabilizacin de la ltima
factura, se deberan realizar integrados en estos sistemas. Es frecuente y lgico que las
organizaciones grandes de TI tengan un grupo propio de personas dedicadas al control
y a la gestin financiera. Pero se debe evitar la tendencia natural de crear un sistema de
control y de gestin de costes de TI paralelo y conseguir que las necesidades puedan
ser cubiertas por el sistema financiero corporativo, aunque en muchos casos, las nece-
sidades particulares de TI (sobre todo desde la perspectiva de gestin de activos y en la
utilizacin de recursos) requieren la utilizacin de sistemas complementarios.
En ISO/IEC 20000-2, la gestin financiera de TI se describe en torno a tres reas:
la definicin de las polticas, la elaboracin del presupuesto y la contabilidad de los
servicios. Adems, en este libro se incorporan tambin muchas de las recomenda-
ciones de ITIL v2, entre otras, la facturacin de los servicios, esencial para equili-
brar la balanza entre la demanda de las reas cliente y de la oferta de TI. En la
figura 6.4.2 se muestra una introduccin a este proceso.
El objetivo principal del proceso es conseguir una administracin eficiente de los
recursos econmicos de TI. Genera como principales contribuciones:
La administracin eficiente de los activos de TI utilizados para proveer los
servicios de TI.
Una integracin y dilogo perfecto con el rea financiera de la empresa.
El poder realizar una contabilidad exacta de los servicios de TI.
Facilitar la toma de decisiones sobre inversiones en TI de una forma efi-
ciente.
Orientar las organizaciones de TI a estructuras de costes ms competitivas.
La optimizacin de los costes de los servicios de TI. La deteccin de inefi-
ciencias en costes, permitiendo concentrar los recursos econmicos en fun-
ciones esenciales para el negocio.
334 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
1
Enron, Tyco International, Adelphia, Peregrine Systems y WorldCom.
2
La informacin sobre SOX se ha obtenido de Wikipedia.
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 337
Requerimientos
financieros del
negocio para TI
PRESUPUESTO CONTABILIDAD
Modelo
Proceso Procesos
de entrega Procesos de relaciones
Proceso de gestin de resolucin Gestin de las relaciones
de la entrega Gestin del incidente con el negocio
Gestin del problema Gestin de suministradores
de costes
Mejoras
FACTURACIN
PDCA
Modelo de SGSTI
facturacin
Precios
Catlogo
de servicios
anual), que suele conllevar la definicin de unos nuevos objetivos financieros para
TI realizados en funcin de la planificacin de las actividades que se deben realizar;
y de una necesidad de compra que TI inicia y solicita su aprobacin presupuestaria.
Hay otras entradas de soporte que se utilizan en el proceso. Destacan los objetivos
financieros establecidos por la organizacin para TI; la planificacin de proyectos y
actividades previstas para TI, donde se reflejan todas las actividades y compromisos
planificados; el modelo de costes, formado por una estructura que permite regis-
trar y asignar todos los costes; el modelo de facturacin o imputacin de costes a
GESTIN FINANCIERA DE TI
SISTEMAS DE
INFORMACIN
MARKETING VENTAS FABRICACIN ADMINISTRACIN SERVICIOS Etc.
GENERALES
tener presupuestado y aprobado este coste extra antes de cerrar el SLA. Con la ges-
tin de nivel de servicio tambin se analizan las mejoras de eficiencia en costes de
los servicios. Adems, en el catlogo de servicios se incorpora el precio de cada ser-
vicio y sus opciones.
Gestin de suministradores. La gestin de suministradores est muy vinculada a
este proceso. Las relaciones entre ambos se establecen en todos los mbitos de la
gestin de suministradores: en la definicin de la estrategia de sourcing, que debe
ser acorde con los objetivos financieros; en el ciclo de seleccin y contratacin, que
lleva a cabo las compras; y en el ciclo de gestin de la prestacin del suministrador,
para velar por los pagos y las variaciones econmicas dependientes de la demanda.
Gestin del cambio. Los cambios importantes deben valorarse en cuanto al coste
y aprobarse bajo el mbito de la gestin del cambio. Este requisito obliga a la ges-
tin financiera a trabajar de una forma conjunta con el resto de la organizacin en
la aprobacin de los cambios y sus costes bajo el proceso de gestin del cambio.
Gestin de la capacidad. La gestin de la capacidad participa en la elaboracin de
los presupuestos con las previsiones de recursos identificadas en el plan de capaci-
dad. Con las previsiones, se pueden concentrar las compras y evitar las compras de
urgencia para obtener ahorros adicionales. Adems, proporciona informacin sobre
la utilizacin de las infraestructuras y de los recursos.
Gestin de la disponibilidad y continuidad. La continuidad puede requerir gran-
des inversiones en replicaciones, en servicios externos y en centros redundados. La
elaboracin de presupuestos y contabilidad debe conseguir que las soluciones de
continuidad tengan el equilibrio entre el coste y el beneficio aportado al negocio.
Pues, podra ocurrir que la prdida posible del negocio sea menor que el coste de
los mecanismos redundados.
Gestin de la configuracin. La informacin sobre los costes de los activos los
proporciona el proceso de gestin financiera, y gestin de la configuracin los
almacena como un atributo de informacin ms. Posteriormente se utilizarn para
el clculo de los costes por servicio.
Este proceso tambin se relaciona con el resto de procesos y reas para definir las
partidas presupuestarias del ejercicio, identificar mejoras de eficiencia econmica y
el seguimiento de los objetivos econmicos.
UNE-ISO/IEC 20000-1
Nota: Esta seccin cubre la elaboracin de presupuestos y de la contabilidad del los servicios de TI. En
la prctica, muchos proveedores del servicio estarn involucrados en facturar por tales servicios.
Sin embargo, dado que la facturacin es una actividad opcional, no est cubierta por la norma.
Se recomienda a los proveedores que si hacen uso de la facturacin, el mecanismo para hacerlo
est plenamente definido y entendido por las partes. Todas las prcticas contables en uso se debe-
ran alinear con las prcticas contables ms amplias de la organizacin del proveedor del servicio.
En la nota anterior se deja claro el alcance de los requisitos del proceso en la parte 1,
en los que no se incluye la facturacin, aunque en este libro s se trata.
Por otra parte, se recalca la importancia de que la elaboracin de presupuestos y la
contabilidad de TI estn perfectamente alineadas con las prcticas contables gene-
rales de la organizacin. Hay que intentar que la contabilidad de la empresa con-
temple las necesidades de la contabilidad analtica de TI, con el fin de poder extraer
de sta los costes por servicio, los costes por cliente, los costes por actuacin, etc.
As, se evita realizar la contabilizacin dos veces, una en los sistemas contable gene-
rales de la empresa y otra en los sistemas contables especficos de TI.
UNE-ISO/IEC 20000-2
Generalidades
La responsabilidad sobre muchas de las
Esta seccin cubre la realizacin de los decisiones financieras va a estar fuera
presupuestos y de la contabilidad para del mbito de la gestin del servicio y
los servicios de TI. En la prctica, tambin podran dictarse externamente
muchos proveedores estn implicados los requisitos acerca de qu informacin
en la facturacin del servicio. Sin financiera se debe facilitar, de qu
embargo, dado que la facturacin es manera y con qu frecuencia. Las dis-
una actividad opcional, no est cubierta posiciones de esta seccin estn enfo-
por esta norma. Se recomienda a los cadas en las prcticas que se deberan
proveedores del servicio que cuando seguir para satisfacer los requisitos de la
lleven a cabo la facturacin, el meca- norma. Sin embargo, se pueden tener
nismo empleado para ello est definido en cuenta requisitos ms amplios en el
en detalle y sea entendido por todas las caso de que impacten en alguna de las
partes implicadas. polticas y procedimientos definidos.
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 345
ISO/IEC 20000-2 hace hincapi en que muchas decisiones financieras que afectan
a este proceso se toman fuera de l. La gestin financiera de TI est supeditada a
las directrices del departamento financiero de la organizacin. En algn escenario,
como en el caso de las empresas pequeas, la responsabilidad completa del proceso
puede ser externa a TI.
Las herramientas de soporte a la gestin del proceso deben ser los mismos
sistemas de gestin de la empresa. Deben permitir gestionar los presupues-
tos, la contabilizacin de los gastos por servicio y por cliente, el registro del
consumo de recursos y su facturacin.
Contemplar los propios costes originados por el proceso, que esencialmente
estn relacionados con el personal y la adaptacin de los sistemas financieros
de la empresa.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
Los costes se deben presupuestar con suficiente detalle para permitir el control eco-
nmico efectivo y la toma de decisiones.
El proveedor del servicio debe monitorizar e informar de los costes contra el presu-
puesto, revisar las previsiones econmicas y gestionar los costes en consonancia.
Los costes de los cambios en el servicio se deben valorar y aprobar a travs del pro-
ceso de gestin del cambio.
ISO/IEC 20000-1 requiere que los cambios se valoren en cuanto a sus costes y que
se aprueben a travs del proceso de gestin del cambio. De esta forma, se tiene
un mejor conocimiento y control de los costes. Las peticiones de cambio (RFC),
presentadas con el fin de aprobar su ejecucin, deben incorporar el coste asociado
(as se establece en el formato de RFC del apartado 9.2). El proceso de gestin
financiera controlar a travs de su presencia en el comit de cambios (CAB,
Change Advisory Board), que se actu dentro de los presupuestos asignados.
Una vez aprobado el cambio, cuando se necesite la ejecucin de alguna compra
(equipamiento, licencias, servicios, etc.), volver a intervenir la gestin financiera
para autorizarla econmicamente.
UNE-ISO/IEC 20000-2
En teora, antes de la realizacin del presupuesto, se deberan tener cerradas las pro-
puestas de los planes anuales de los otros procesos y reas, que tienen una influen-
cia directa en el presupuesto, como por ejemplo, el plan estratgico de TI, la car-
tera de proyectos anual, el plan de capacidad, el plan de continuidad, el plan de
disponibilidad y las estimaciones de costes de otras reas y procesos (service desk,
problemas, cambios, infraestructuras, etc.).
Mensualmente:
Comprobar que los costes consolidados del mes en curso se corresponden
con las previsiones, y analizar y explicar cualquier desviacin.
Realizar anlisis de costes.
Obtener los precios reales por servicio-cliente, y compararlos con los pre-
supuestos.
Difundir un balance de situacin mensual.
Notificar las desviaciones producidas a cada rea.
Revisar la recuperacin de los costes en comparacin con los objetivos
establecidos.
Trimestral o semestralmente:
Evaluar la exactitud de las frmulas para el clculo de costes, comparando
los costes y los ingresos reales con los previstos.
Comprobar las listas de precios de los servicios.
354 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Anualmente:
Planificar los cambios necesarios en el personal y los recursos para el pr-
ximo ao.
Revisar los sistemas de contabilidad y facturacin de TI, para:
Generar las cuentas finales del ao financiero en curso.
Asegurar de que se alcanzan los objetivos de negocio de la organizacin
de TI.
Generar los anlisis anuales del coste.
Confeccionar y difundir un balance final.
Revisar los elementos de coste estndar (es importante tener en cuenta
que las correcciones deben ser las imprescindibles, ya que cualquier cam-
bio dificultar las comparaciones entre distintos aos).
Recalcular el valor por unidad del coste para comprobar que se correspon-
den con los resultados previstos.
Revisar la poltica de gestin econmica y los procedimientos de la conta-
bilidad de TI.
Ayudar al cliente y a otros gestores de TI a definir los presupuestos para el
nuevo ao financiero.
Revisar las necesidades de continuidad de los servicios que soportan la
gestin econmica de TI, y comprobar que todos sus requerimientos y
necesidades estn cubiertos.
UNE-ISO/IEC 20000-2
Contabilidad
Los modelos de costes deberan ser
Los procesos de contabilidad se debe- capaces de mostrar los costes de la pro-
ran usar para realizar el seguimiento de visin del servicio.
los costes hasta el nivel de detalle acor-
Los estados de cuentas deberan mostrar
dado durante un periodo de tiempo
las situaciones de excesos y defectos
tambin acordado.
de gasto as como las recuperaciones de
Las decisiones sobre la provisin del dichas situaciones y deberan permitir al
servicio deberan estar basadas en com- lector entender los costes de niveles bajos
paraciones sobre la eficacia en costes. de servicio o de prdidas de servicio.
Se debe poner un foco especial en conocer el gasto por cliente, por servicio y por
actividad, lo cual implica tener que realizar un desglose o asignacin por cliente y
por servicio en todos los gastos. En lo relativo a la actividad, se necesitar un sis-
tema de imputacin de tiempos por parte del personal.
356 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Modelo de costes en TI. Un modelo de costes por servicio es una estructura con-
table en la que se pueden registrar y asignar todos los costes conocidos a servicios,
de manera que se puedan conocer los costes de toda la estructura productiva nece-
saria para un servicio. De igual manera, existe el modelo de costes por cliente (mar-
keting, ventas, etc.), que permite conocer todos los costes incurridos por TI para
prestar los servicios a cada uno de ellos.
El modelo de costes de TI se debe definir e implementar de forma conjunta entre
TI y el rea financiera de la empresa. De esta manera, adems de cumplir con la
legalidad vigente, se evita tener que realizar una contabilidad duplicada.
A la hora de plantear el desarrollo e implantacin de un modelo de costes, y antes
de lanzarse a definir los elementos de coste tpicos de TI, se debera obtener la
siguiente informacin.
La informacin procedente de las cuentas de gasto de la empresa a la que
pertenece la organizacin de TI (gastos de personal, contratos de servicios
de TI, mantenimiento de licencias, amortizacin del hardware y del soft-
ware, etc.).
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 357
El modelo de costes es un aspecto clave y piedra angular para una adecuada ges-
tin econmica de los servicios de TI. En la figura 6.4.9 se muestra el ejemplo de
un modelo de costes de TI enfocado a los servicios.
Elementos de coste
Servicios externos
Transferencia
Costes directos Costes indirectos
del servicio del servicio
Reglas de
Costes directos y % de
reparto de los
costes absorbidos incremento
costes indirectos
del servicio comn
no imputables
El modelo de costes por servicio es una forma de asignar internamente los costes
con el fin de conocer el coste total de prestacin de cada servicio. Para ello, prime-
ramente se obtiene la informacin contable por elemento de coste segn la estruc-
tura comn definida: costes de hardware, costes de software, costes de personal,
costes de ubicacin fsica, costes de servicios externos y costes de transferencia.
Una vez recopilados todos los costes, se clasifican los costes en dos tipologas,
directos o indirectos:
Costes directos del servicio. Son aqullos que pueden atribuirse de manera
clara a un nico servicio. Por ejemplo: un servicio que se ejecuta en una
mquina especfica.
Costes indirectos. Son aqullos en los que se incurre de forma comn a
todos los servicios o en un nmero acotado de ellos. Por ejemplo, la red o el
departamento de soporte tcnico, que tendrn que ser distribuidos entre
todos de manera equitativa. Al distribuir los costes indirectos se dan dos
casos:
Costes indirectos imputables a un servicio. Son aquellos costes
de recursos comunes que razonablemente se pueden imputar a un ser-
vicio mediante un tipo de prorrateo por el uso que hace el servicio del
recurso. Por ejemplo, el consumo de CPU de un servicio en una mquina
virtual.
Costes indirectos no imputables a un servicio o no absorbibles. Es el
coste de cualquier recurso que presta servicios de una forma comn a
todos y que no tiene una relacin posible con un servicio o cuya imputa-
cin es muy compleja. Se repercute entre todos los servicios del modo ms
justo posible. Estos elementos comunes pueden ser de hardware, de soft-
ware, de personal, de ubicacin, de servicios externos o de transferencia.
Por ejemplo, un cortafuegos del centro de datos, los sistemas de aire acon-
dicionado, el personal administrativo, etc. En este caso, los costes se dis-
tribuyen en base a una tasa comn que incrementa los costes del servicio
calculados hasta ese momento.
La suma de los costes totales asignados a los servicios debe ser igual a la suma de
los costes iniciales.
Existen diferentes tipologas a la hora de calcular los costes, las dos ms utilizadas
son:
En base al coste total de la propiedad o TCO (Total Cost of Ownership), que
calcula todos los costes necesarios durante el ciclo de vida completo del
servicio. En este caso, los clientes soportan la totalidad de los costes de pro-
visin y prestacin del servicio.
En base al coste marginal, calculando el coste en funcin del incremento en el
total de costes por proveer un servicio adicional. Slo se repercuten al cliente
los costes incrementales del ejercicio. Es una forma ms sencilla e imprecisa de
repercutir los costes, pero igualmente sirve para moderar la demanda.
Los modelos ms utilizados para la distribucin de los costes en funcin de los con-
sumos son:
Coste por usuario de los servicios. En este modelo, se carga una cuota fija
por cada usuario con independencia del uso que se realice. Muy utilizado en
los servicios al puesto de trabajo (PC, archivos en red, navegacin por Inter-
net, correo electrnico, etc.). Es un modelo sencillo, pero poco equitativo.
Para que tenga su efecto de moderar la demanda, debe combinarse con otros
costes que sean reflejo del consumo variable. Tambin se utiliza para reper-
cutir los costes de las aplicaciones con complejidad de administracin o
cuando el coste de las licencias es alto.
Coste por capacidad de proceso consumida. Forma histrica de medicin
en el mbito mainframe. Las mediciones son sencillas y las proporciona el
propio sistema. Se factura por tiempo de uso del procesador. El coste por
MIP (Millones de Instrucciones por Segundo) en el mainframe, o por MIP
equivalente para entornos abiertos, es un dato con benchmarking del mercado.
Coste por servidor (o por caja). Se tipifican los servidores segn su sistema
operativo y capacidad para fijar un precio por cada uno de ellos. Es un modelo
poco preciso, pero sencillo y fcil de contrastar con los inventarios. Por ello se
utiliza mucho en los contratos de outsourcing completos. En el precio se distin-
gue entre los servidores que se compran y entre los que slo se administran.
Coste por capacidad de proceso asignada. En los nuevos entornos virtua-
lizados, un servidor alberga varias mquinas virtuales, por lo cual la capaci-
dad de proceso asignada es una medida algo ms precisa que la medicin por
servidores fsicos.
Coste por unidad de almacenamiento. En relacin al almacenamiento, se
miden los gigas (GB) o los teras (TB) netos totales instalados o los asig-
nados a un cliente para cada servicio.
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 361
Aunque ninguno de estos modelos para la imputacin de los consumos es muy pre-
ciso, su contabilizacin mensual resulta sencilla.
Una vez calculado el coste de la provisin y prestacin del servicio, se pueden apli-
car distintas formulas de facturacin:
Precios fijos o tarifa plana. El precio mensual es constante, con indepen-
dencia del consumo.
Precios con dos tramos. La cual incluye un trmino fijo para cubrir los cos-
tes fijos y un trmino variable en funcin del consumo que recuperara los
costes variables.
Precios alineados con el mercado. Los precios se regulan por el propio
mercado o por benchmarking externos.
En cualquier caso, el modelo de facturacin debe ser sencillo y entendible por las
partes. Para la fijacin del precio se pueden seguir varias tendencias: la ms utili-
zada para servicios internos es cuando los precios se basan en el coste real de los
servicios; otra es el establecimiento del precio segn la demanda que exista del
mismo o segn la exclusividad del servicio ofertado.
En los primeros aos o ejercicios en que se aplique la facturacin, se deben revisar
las tendencias del consumo de los clientes y usuarios para evitar que las estruc-
turas de precios estn generando distorsiones en el consumo ptimo de los servi-
cios de TI.
Administrador y
soporte del proceso
Propietario del
Gestor de la
modelo (SGSTI)
capacidad
Gestor de las
relaciones con Departamento financiero
de la empresa Contables de
el negocio la empresa
El personal de TI, que imputa su dedicacin a las diversas tareas con el fin
de tener una contabilizacin detallada de los servicios.
Las diversas reas de TI, que realizan las peticiones de compra.
Mtricas
Las mtricas se deben adaptar a las necesidades de gestin y control que tenga cada
organizacin. Las mtricas de gestin financiera de TI suelen proporcionar infor-
macin sobre los costes, en forma de ratios, y medidas especficas sobre el funcio-
namiento del proceso:
Ratios sobre presupuestos y costes:
Presupuesto de TI en relacin al volumen de facturacin de la empresa
(ITR, IT Spending per unit of Revenue). Representa el porcentaje de los
ingresos de la empresa que deben destinarse a sostener las tecnologas de
la informacin en la empresa.
Peso del presupuesto de inversin (CAPEX) en relacin al presupuesto
total de TI.
Ratio de coste total de TI por usuario.
Ratio de coste total de TI por potencia de proceso instalada (MIP, MIP
equivalente, specs, transacciones por minuto, etc.)
Ratio de coste total de TI por GB almacenamiento instalado.
Con frecuencia se miden ratios de costes sobre reas o temticas de inters
en un perodo dado, como por ejemplo, el porcentaje de presupuesto dedi-
cado a seguridad informtica, presupuesto dedicado a innovacin, etc.
Figura 6.4.11. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
Resumen
El crecimiento de los recursos dedicados a los sistemas de informacin y la utili-
zacin extensiva de los servicios de TI, junto con la tendencia a la reduccin de
3
El lmite inferior del ITR puede llegar al 1%, como es el caso del sector de distribucin.
366 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Otro objetivo del proceso es la integracin plena con los departamentos financie-
ros y contables de la empresa evitando mantener registros paralelos. Pero estos sis-
temas de la empresa se deben adaptar para satisfacer tambin las necesidades de
informacin analtica de TI.
Beneficios
El principal beneficio es una gestin ms eficiente y controlada de los gastos en tec-
nologas de la informacin.
La presupuestacin es la actividad clave en el proceso de gestin financiera de los
servicios de TI y proporciona:
Mejora en la priorizacin de los proyectos de inversin. Toma de decisiones
sobre los servicios en base a anlisis de rentabilidad de las inversiones.
6. Procesos de provisin de servicio
6.4. Gestin financiera de TI 367
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 4:
Cules de las tres actividades principales de este proceso (presupues-
tar, contabilizar y facturar) se realizan en su organizacin?
Indique tres procesos que son necesarios tener implantados previa-
mente para que el proceso de gestin financiera de TI tenga xito.
4
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6. Procesos de provisin de servicio
6.5. Gestin de la capacidad 369
La actividad del negocio no debera ser coartada por una falta de capacidad o un mal
rendimiento de los sistemas de informacin. En momentos de mxima demanda
los sistemas deben responder. Los incrementos de carga deben estar previstos, los
sistemas diseados para absorberlos y tambin lo deben estar para poder crecer
de forma dinmica. Pero alcanzar este estatus de podero no es una tarea sencilla.
Se requiere la ejecucin de un conjunto complejo y diverso de actividades. En este
proceso se explican las ms relevantes que estn contenidas en las mejores prcticas
del mercado (vase la figura 6.5.1).
El proceso de gestin de capacidad, muy maduro en la dcada de 1980 con los
entornos mainframe, pas al olvido a comienzos de la dcada de 1990 con la lle-
gada de los sistemas abiertos; cuando duplicar la capacidad de un equipo era ms
econmico que pagar a un ingeniero de sistemas para que la planificara. Pero las
alegras y derroches en TI finalizaron con la burbuja de las puntocom. Se ha
vuelto a la senda del estricto control econmico y al seguimiento del retorno de
la inversin. As, la gestin de la capacidad vuelve a tener plena vigencia en los
comienzos del siglo XXI.
370 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Como si los ajustes econmicos no hubieran sido justificacin suficiente, las ten-
dencias a la consolidacin y a la virtualizacin de las infraestructuras refuerzan la
necesidad de disponer de una buena gestin de la capacidad (y rendimiento).
Implantar plataformas comunes requiere gestionar y controlar los recursos que
consume cada servicio para evitar que interfiera en el rendimiento de sus compae-
ros de habitculo.
Recientemente se ha incorporado a la ecuacin la necesidad de ajustar el consumo
elctrico, como consecuencia de los problemas con la refrigeracin de los centros
de datos, la reduccin del impacto ambiental de las TI y la necesidad de rebajar la
factura elctrica. Este recin llegado sita tambin a la gestin de la capacidad
como un buen instrumento para ejecutar las polticas medioambientales, o verdes,
en TI relativas al uso eficiente de las infraestructuras.
Gestionar la capacidad de los servicios de TI permite garantizar que se tendr, en
todo momento, la capacidad suficiente para cubrir la demanda actual y futura acor-
dada con el negocio, manteniendo siempre un coste razonable y equiparable con el
mercado. La gestin de la capacidad debe equilibrar las previsiones de utilizacin o
carga con los recursos disponibles, de modo que se eviten prdidas o degradacio-
nes del servicio. Pero tambin debe vigilar el coste de la sobrecapacidad para evitar
el derroche de recursos.
Gestionar adecuadamente la capacidad no es una tarea fcil. Se debe tener un cono-
cimiento tcnico de las infraestructuras de TI, pues se encarga de supervisar la capa-
cidad actual, de anticipar las ampliaciones necesarias, de modelar el comporta-
miento de las aplicaciones, y del ajuste y mejora continua del rendimiento.
Adems, requiere un entendimiento de la actividad del negocio, para poder predecir
las variaciones en el consumo de recursos (crecimiento vegetativo, campaas de
marketing, variaciones estacionales, acontecimientos singulares, etc.). La gestin de la
capacidad debe conocer las variaciones temporales del negocio para ajustar los recur-
sos, como es tpico en la facturacin mensual. Segn el ciclo del negocio, se pueden
presentar campaas segn la estacin del ao. As, en las empresas de telefona mvil,
las pocas de fin de ao y de verano se dispara la actividad de los consumidores y los
sistemas se ven sometidos a su mxima carga. Tambin hay que tener en cuenta acon-
tecimientos puntuales, como el lanzamiento de una campaa de marketing. Por todo
ello, es necesaria una comunicacin fluida entre la gestin de la capacidad y el negocio.
En la figura 6.5.2 se presenta una visin introductoria al proceso de gestin de la
capacidad.
El objetivo del proceso de gestin de la capacidad es garantizar que siempre existe
la capacidad de TI necesaria, justificable en trminos de coste, y ajustada a las nece-
sidades del negocio, actuales y futuras.
6. Procesos de provisin de servicio
6.5. Gestin de la capacidad 371
El proceso de gestin de la capacidad debe ser el foco central de todos los temas
relacionados, tanto con la capacidad como con el rendimiento. Las tareas diarias
debern realizarse por los grupos tcnicos de la organizacin (tcnica de sistemas,
administracin de bases de datos, ingeniera, soporte de redes, etc.), trabajando
para este proceso en las actividades que marca la gestin de la capacidad.
La gestin de la capacidad trata aspectos proactivos y reactivos.
La faceta proactiva comprende todas las actividades que permiten anticiparse
a una carencia de capacidad y a un escaso rendimiento, como por ejemplo, la
previsin de la demanda por parte del negocio, la previsin de la capacidad
necesaria por los servicios, el modelado de servicios, el dimensionado de las
aplicaciones, el plan de capacidad, etc.
Los aspectos reactivos del proceso estn relacionados con la deteccin de faltas
de capacidad, el ajuste o tuning de componentes o de los servicios, la provisin
con urgencia de soluciones, el establecimiento de umbrales en la monitoriza-
cin, etc.
372 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Adems, el proceso debera tratar otros aspectos relacionados con la mejora o inno-
vacin en las plataformas informticas, como por ejemplo:
La automatizacin de la provisin de peticiones de los usuarios, autorregis-
tro, autorresolucin, distribucin de software, etc.
La automatizacin de los centros de datos, con la implantacin de polticas
de asignacin dinmica de recursos segn las previsiones de carga, provisin
automatizada de infraestructura virtual, etc.
La consolidacin de servidores y del almacenamiento.
La virtualizacin de los sistemas operativos.
La gestin de la obsolescencia del equipamiento y la renovacin del parque.
La desconexin y retirada de equipos. La gestin del apagado de aplicacio-
nes sin uso.
En coordinacin con las polticas medioambientales en TI (green IT), parti-
cipa en la implantacin de las polticas relacionadas con el consumo energ-
tico y de materiales menos contaminantes, como por ejemplo:
El seguimiento del consumo elctrico. Implantacin de polticas de reduc-
cin del consumo en equipos, como la entrada en suspensin tras pero-
dos de inactividad.
La definicin de polticas de compra de equipamiento certificado con eti-
quetas verdes de bajo consumo y materiales reciclables.
Previsin
Utilizacin de la carga
o carga
Capacidad Plan de
Previsiones
del negocio Modelos capacidad de capacidad
abiertos o cerrados sobre este mbito; la informacin obtenida sobre cualquier ele-
mento a partir de la base de datos de gestin de la configuracin (CMDB, Change
Management Data Base) y la informacin sobre los histricos de monitorizacin en
la base de datos de gestin de la capacidad (CDB, Capacity Data Base); la planifica-
cin de los cambios a partir de la lista de cambios planificados (FSC, Forward Sche-
dule of Changes) o bien change schedule (siguiendo la terminologa ITIL v3), para
conocer en qu momento se necesitar la capacidad; los presupuestos de TI que
establecen los recursos econmicos disponibles; etc.
La gestin de la capacidad tiene tres subprocesos o mbitos de actuacin: el nego-
cio, los servicios y los recursos.
La gestin de la capacidad del negocio. Se enfoca en conocer la capacidad
que va a demandar el negocio para anticiparse en la cobertura de las necesi-
dades. Los requisitos futuros se obtienen a partir de los planes de negocio,
crecimiento, planes de desarrollo, nuevos servicios, etc.
En la capacidad del negocio tambin se incluyen los aspectos de la capacidad
de los servicios en lo concerniente a su relacin con otros procesos: asisten-
cia en la definicin de los requisitos de nivel de servicio de capacidad, diseo
de nuevos servicios y la provisin de infraestructuras, verificacin de SLA en
rendimiento y carga, firma de los acuerdos, etc.
La gestin de la capacidad de los servicios. Se centra en la gestin de la
capacidad y rendimiento de los servicios de TI, que deben cumplir los mni-
mos establecidos en los acuerdos de nivel de servicio. Se puede considerar
como la visin hacia el interior de los servicios centrada, principalmente,
en conseguir su adecuado funcionamiento, ya que las interacciones con el
entorno se tratan en la capacidad del negocio.
La gestin de la capacidad de los recursos. Se centra en la gestin de los
componentes individuales de la infraestructura de TI: capacidad, rendi-
miento, parametrizacin, optimizacin, monitorizacin, obsolescencia, etc.
Siguiendo ITIL, en cada uno de estos tres mbitos se realiza un conjunto de activi-
dades que se enumeran de forma comn, aunque unas son ms especficas de un
mbito y otras, en cambio, se realizan en los tres.
Elaborar el plan de capacidad. Documento que recoge de forma precisa las
necesidades inmediatas y a medio plazo de recursos. Su elaboracin orquesta
un movimiento en toda la organizacin para predecir las necesidades de
capacidad del negocio, de los servicios y de los recursos. Es el documento
maestro que pronostica las necesidades para que se proporcionen los presu-
puestos necesarios.
380 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Actividades
Elaborar Ciclo de mejora Relacionarse
el plan de de la capacidad con otros
Subprocesos capacidad y rendimiento procesos
Modelado
Las principales salidas o resultados del proceso son: el plan de capacidad elaborado o
actualizado, con las previsiones de recursos necesarias; la base de datos de capacidad,
con toda la informacin de capacidad y rendimiento recogida en la monitorizacin;
los informes de capacidad elaborados; y el dimensionado de aplicaciones realizado.
Como resultados secundarios del proceso se obtienen: los umbrales y alarmas para
la monitorizacin de la capacidad y rendimiento; las lneas base en cuanto a la utili-
zacin de recursos y los perfiles de comportamiento; las recomendaciones de par-
tida para los acuerdos de nivel de servicio; las recomendaciones sobre polticas de
facturacin, de cara a influir en el consumo de recursos; los cambios proactivos (y
sus RFC) para la mejora de la capacidad y del rendimiento; la planificacin de las
operaciones revisada, de cara a ajustar los picos en la carga de los recursos; las pro-
puestas de actividades para la mejora de los servicios; etc.
El plan de capacidad
Uno de los principales instrumentos del proceso es el plan de capacidad, cuyo obje-
tivo es predecir las necesidades de capacidad con el fin anticiparse a su demanda.
Alrededor de la elaboracin del plan se desencadena la actualizacin de informa-
cin y revisin completa de la situacin actual. Las actualizaciones del plan marcan
el tempo de este proceso. Al igual que ocurriera en disponibilidad y continuidad, el
plan de capacidad marca el ciclo vital del proceso, que debe ir acompasado con la
gestin financiera de TI.
En el plan de capacidad tambin se incorporan los niveles actuales de utilizacin de
recursos y el rendimiento de los servicios. Se estudian los planes y la estrategia del
negocio. Las estimaciones y suposiciones realizadas se deben indicar con claridad.
Tambin debera incluir recomendaciones sobre los recursos requeridos, sus costes,
los beneficios, el impacto, etc.
Las Normas ISO/IEC 20000 explicitan un conjunto de requerimientos que se
deben cumplir a travs del plan de capacidad:
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Se debera generar un plan de capacidad mentar las opciones existentes junto con
donde se documente el rendimiento real su coste para cumplir con los requisitos
de la infraestructura y los requisitos espe- del negocio, as como, las soluciones
rados, con la frecuencia suficiente para recomendadas para conseguir los obje-
tener en cuenta el ritmo de cambios de los tivos de nivel de servicio tal como estn
servicios y de los volmenes de servicio, la definidos en el SLA.
informacin de los informes de gestin del
Debera existir una buena comprensin
cambio y del negocio del cliente.
de la infraestructura tcnica y sus capa-
Dicho informe debera elaborarse al cidades presentes y las que estn pro-
menos anualmente. Se deberan docu- yectadas.
El plan de capacidad debe publicarse anualmente y debe estar alineado con el ciclo
presupuestario. Hay que tener presente que est muy vinculado al plan de inver-
sin y debe estar finalizado antes de que se inicie la elaboracin de los presupuestos
de TI. Se recomienda su actualizacin cada tres meses, para reflejar los cambios en
el negocio o para corregir las previsiones.
En la figura 6.5.7 se muestra la estructura propuesta en ITIL, que divide el plan en
11 apartados.
Los apartados de mayor inters del plan de capacidad son:
Los escenarios del negocio. Que analizan la situacin actual del negocio,
visto desde la demanda hacia TI. Se presenta la situacin actual del negocio
(nmero de departamentos, nmero de usuarios, nmero de edificios, volu-
men de transacciones, etc.). A partir de la estrategia y planes del negocio, se
realiza una previsin sobre la evolucin del negocio, en cuanto a la actividad
prevista, nueva actividad, nuevos edificios, etc. Contemplando siempre las
repercusin que tendrn en los servicios de TI.
El resumen de los servicios. Presenta la situacin actual de los servicios, mos-
trando servicio a servicio un perfil del mismo: carga, trfico, almacenamiento,
384 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Plan de capacidad
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.
Estructura de la CDB
UNE-ISO/IEC 20000-2
Del conjunto comn de actividades del proceso, las principales actividades que se
pueden considerar para llevar a cabo el subproceso de gestin de la capacidad del
negocio son las siguientes:
Elaborar el plan de capacidad en el mbito del negocio. Se centra en identificar
la evolucin y las necesidades que tendr el negocio en el perodo cubierto por el
plan. Las necesidades se convertirn en los requisitos que TI debe satisfacer. En esta
actividad se desarrolla el apartado del plan de capacidad relativo a los escenarios del
negocio, que est formado por dos subapartados: la situacin actual del negocio y
la evolucin prevista del negocio. El objetivo principal es predecir la evolucin del
negocio en los aspectos que puedan impactar en TI, como por ejemplo, el volumen
de actividad, la variacin o la diversificacin de actividades, la incorporacin de nue-
vas tecnologas, el impulso a la movilidad, las polticas de teletrabajo, etc.
6. Procesos de provisin de servicio
6.5. Gestin de la capacidad 389
Distribucin geogrfica <tabla de usuarios por ciudades> <nueva tabla de usuarios por ciudades>
usuarios.
Distribucin funcional <tabla de usuarios por departamentos> <tabla de usuarios por departamentos>
usuarios.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
debe ejecutar las polticas de TI y utiliza como principal medio la imputacin de cos-
tes, pero tambin tiene otras alternativas, como por ejemplo, la comunicacin, la
limitacin del uso (por ejemplo, el tamao de los buzones de correo), etc. La
influencia en el uso se debe realizar con una visin general del negocio, pues muchas
veces infringe graves prejuicios e improductividad en el negocio. Adems, se deben
realizar de forma alineada con la gestin de la estrategia del negocio y apoyadas en
la gestin financiera de TI.
Modelado de los servicios. En el caso de los servicios, el modelado permite definir
varios escenarios de trabajo, con variaciones en la carga que soportarn los servicios
y la cuantificacin de los recursos necesarios para soportarla. El modelado se utiliza
en la etapa de diseo de los servicios. En la mayora de los casos el resultado es una
simple tabla o grfica que representa las diversas cargas junto con los recursos nece-
sarios. En el caso de productos software, el modelado debe partir del realizado por
los propios fabricantes, que se podr complementar con pruebas en el escenario real,
ya que los datos de los fabricantes generalmente se referirn a configuraciones lim-
pias y que no consideran escenarios de comparticin de los recursos.
Dimensionado de aplicaciones. Actividad muy similar al modelado cuyo resul-
tado est orientado a conocer con detalle los recursos que necesitar una aplicacin
para satisfacer los niveles de servicio. Se realiza o al inicio del proyecto o en la fase
de pruebas y tambin se puede hacer en cambios importantes. Si se ha realizado el
modelado previamente, se utilizarn sus resultados. Se realiza principalmente en
aplicaciones crticas. En los desarrollos a medida, slo se podr realizar en la fase
de las pruebas finales antes de entrada en produccin, sometiendo a la aplicacin a
diversas situaciones de carga, utilizando para ello herramientas de generacin auto-
mtica. Por este motivo, es mucho ms importante la identificacin e incorpora-
cin de requisitos de rendimiento durante la fase de establecimiento de requisitos
tcnicos al nuevo desarrollo.
Realizacin de informes de capacidad y rendimiento. Emisin de informes
sobre los servicios, detallando el rendimiento de los servicios, la utilizacin de
recursos (tcnicos y humanos), la capacidad remanente, etc. Los informes se reali-
zarn de forma peridica o bajo peticin, en ambos casos coordinados con el pro-
ceso de gestin de informes.
Figura 6.5.10. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
base a un proyecto llave en mano, como puede ocurrir con la continuidad, sino que
se suele realizar por el propio equipo que posteriormente llevar el proceso.
Una vez puesta en marcha, la gestin de la capacidad requiere perfiles con una pro-
funda especializacin tcnica en las tecnologas que se utilizan (se realiza en tuning
de aplicaciones, se resuelven problemas de rendimiento, etc.) y tambin es necesario
conocimiento del negocio de cara a predecir el comportamiento del mismo.
Los roles involucrados en la gestin de la capacidad se estructuran en roles propios
del proceso y roles ajenos al proceso.
Los roles propios del proceso son:
Gestor de la capacidad. Es el responsable de la implantacin del proceso defi-
nido por el propietario del modelo de gestin. Tambin supervisa y coordina
la ejecucin y el control del proceso, se encarga de proponer mejoras al pro-
ceso, realiza el plan de capacidad, tiene la visin del negocio, interacta con
el resto de procesos, asegura que se cumplen los SLA en cuanto a la capaci-
dad y rendimiento, vela por el correcto tratamiento de los datos que utiliza
el proceso y supervisa la implementacin de la monitorizacin.
Administrador y soporte del proceso de capacidad. Asiste al gestor de la
capacidad en lo que necesite.
6. Procesos de provisin de servicio
6.5. Gestin de la capacidad 397
Responsable de la
gestin del servicio
Administrador y
Gestor de soporte del proceso
la capacidad de capacidad
SGSTI
Especialista
tecnolgico
Especialista en Administrador
monitorizacin de la CDB
Propietario del
modelo (SGSTI)
Resumen
Si este proceso cay alguna vez en el olvido, vuelve a tener plena vigencia debido a
las nuevas tendencias en TI: los ajustes en los costes, la consolidacin y la virtuali-
zacin de las infraestructuras de procesamiento o la reduccin del consumo elc-
trico. La necesidad de compartir plataformas requiere gestionar y controlar los
recursos que consume un servicio para evitar que interfiera en el rendimiento de
los otros.
La gestin de la capacidad es un proceso que comprende un amplio abanico de
especialidades diferentes, desde el entendimiento de la evolucin del negocio, hasta
las funciones ms tcnicas de ajuste de las aplicaciones y de las plataformas para
conseguir un rendimiento ptimo.
6. Procesos de provisin de servicio
6.5. Gestin de la capacidad 399
Beneficios
La gestin de la capacidad es un proceso de previsin que permite anticipar las
necesidades y gestionar la dotacin de fondos para conseguirlos. Por tanto, tiene
una vertiente importante en la planificacin econmica.
Tambin lucha contra el despilfarro en la compra o utilizacin de los recursos, ajus-
tando la demanda a las infraestructuras necesarias.
En su faceta tcnica pura, se centra en conseguir un rendimiento ptimo de los ser-
vicios, realizando el ajuste fino de las aplicaciones y de las plataformas.
Los principales beneficios esperados con la implantacin de este proceso son los
siguientes:
Se conocen anticipadamente las necesidades de recursos.
Se pueden agrupar y racionalizar las compras.
El dilogo con el negocio permite identificar los perfiles de utilizacin de los
servicios y reconducir el consumo que se hace de ellos por parte de los usua-
rios.
Se controlan los gastos imprevistos por nuevos proyecto o por necesidades
de compras urgentes.
La optimizacin de recursos, la revisin de la utilizacin de licencias, la ges-
tin de la obsolescencia del parque de equipamiento y la retirada de recursos
no utilizados, pueden generar importantes ahorros.
La mejora del rendimiento y el tunning es una garanta para la estabilidad de
los servicios y la utilizacin ptima de los recursos.
La monitorizacin permitir seguir el consumo de capacidad (por ejemplo,
el consumo energtico) y el rendimiento.
El ciclo de mejora de la capacidad asegura que las instalaciones estn siendo
revisadas y mejoradas continuamente.
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cul es el contenido del plan de capacidad de su organizacin?
Cmo se realizan las pruebas de rendimiento de las aplicaciones?
Cite las dos mejores prcticas de su organizacin relativas al proceso
de capacidad.
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 403
estaba postergada para ser considerada parte de los procesos de provisin, que son
proactivos y alinean los servicios con los requisitos del negocio. De hecho, implan-
tar la gestin de la seguridad y sus actividades tiene bastante similitud con la
importante gestin de la disponibilidad. Ambas tienen una fase previa de implanta-
cin, se articulan en torno a un plan, participan en el diseo de los servicios, tienen
actividades proactivas, analizan los riesgos, dan su apoyo en la resolucin de los
incidentes y problemas que impactan en la disponibilidad o en la seguridad, tienen
facetas reactivas, generan informes, proponen mejoras, supervisan el funciona-
miento en su mbito, etc. Teniendo en mente estas similitudes, es ms sencillo
entender las grandes directrices de la gestin de la seguridad (vase la figura 6.6.1).
La seguridad en TI ha ido evolucionando desde la resolucin de crisis, a golpe de
inversin en tecnologa de proteccin, hacia el concepto de gestin, que combina
tecnologa con medidas organizativas, con procesos y con procedimientos de segu-
ridad. La evolucin hacia un modelo de gestin de la seguridad de la informacin
viene impulsada por la Norma UNE-ISO/IEC 27001, que resalta la necesidad de
disponer de un sistema de gestin de la seguridad y la Norma UNE-ISO/IEC
17799 que detalla cada uno de los controles necesarios para garantizar la seguri-
dad.
La empresa actual debe entender la gestin de la seguridad como un proceso, que
garantice y salvaguarde su informacin, pero que no suponga una barrera para la
organizacin a la hora de desarrollar su actividad.
La gestin de seguridad de la informacin es el proceso con responsabilidad sobre
los niveles de seguridad de los activos utilizados para la prestacin de los servicios
de TI a los clientes. En la figura 6.6.2 se presenta una introduccin al proceso de
gestin de seguridad de la informacin.
Las Normas ISO/IEC 20000 establecen para este proceso un objetivo muy claro:
gestionar la seguridad de la informacin de manera eficaz para todas las activida-
des del servicio. El proceso de gestin de seguridad de la informacin debe traba-
jar para asegurar que los activos utilizados en la prestacin de los servicios se
encuentren en unos niveles de exposicin al riesgo aceptables para el negocio.
Por otra parte, en ITIL v3 se enuncia el objetivo con un enfoque algo diferente: ali-
near la seguridad de TI con la seguridad del negocio y garantizar que la seguridad
de la informacin es gestionada de forma efectiva en todas las actividades de la ges-
tin del servicio. Es muy interesante el matiz aadido por la versin 3, poniendo
nfasis en que la seguridad en TI est integrada con la seguridad general de la
empresa. Tambin destaca que la seguridad no es una isla dentro del rea de TI, sino
que enfoca la actividad del proceso principalmente a velar porque los diversos gru-
pos especialistas de TI desarrollen entre sus actividades los aspectos de la seguridad.
As, este proceso, al igual que ocurriera con la gestin de la disponibilidad, marca las
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 405
pautas, define las medidas de salvaguardia y vela por que se cumplan, ms que des-
arrollar las medidas por si mismo.
Las principales ventajas que aporta el proceso son:
Mejora la seguridad de los sistemas de informacin en todos sus aspectos.
Reduce el riesgo de contagio de virus, de entrada de los silenciosos troyanos,
de expansin de gusanos que saturan las comunicaciones, etc.
Mejora el control y la custodia de los activos de informacin de la empresa,
implantando medidas adecuadas a la criticidad de la informacin o de los sis-
temas.
La mayor proteccin ante las amenazas permite aumentar la fiabilidad de los
servicios, reduciendo la probabilidad de ocurrencia de incidentes de seguridad.
Define y prepara mtodos eficientes en la resolucin de incidentes de segu-
ridad.
Implementa una gestin integral de la seguridad, que proporciona una
visin conjunta del impacto de la seguridad en el negocio.
Realiza la mejora continua de la seguridad reduciendo nivel de riesgo de los
servicios prestados a los clientes.
406 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Activo Riesgos de
seguridad
Objetivos
de control Monitorizacin
de la seguridad
Amenaza
de seguridad Declaracin de Controles de
Eventos de
riesgos (SoA) seguridad seguridad
Vulnerabilidad Plan de
Probabilidad tratamiento de
Incidentes
riesgos de
Impacto seguridad de seguridad
Nivel de riesgo
Registros de
seguridad
d
Informes
seguridad
de
da
eg uri Comit de
es
ad seguridad
tic
Pol
de seguridad), hay que tener en cuenta los conceptos principales que se utilizan en
el proceso de gestin de seguridad de la informacin:
Activo de sistemas de informacin o elemento de configuracin. Dato, infor-
macin, programa, equipo, persona o cualquier otro recurso de los sistemas de
informacin utilizado en la prestacin de los servicios. En el mbito de seguridad
se denomina activo, mientras que en el proceso de gestin de la configuracin y
en el resto de procesos se utiliza el trmino elemento de configuracin. As,
activo y elemento de configuracin son conceptos similares.
Amenaza. Suceso de ocurrencia probable que puede desencadenar un incidente en la
organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos.
Anlisis de riesgos de seguridad. Actividad que proporciona informacin relativa
a las amenazas de seguridad que pueden afectar a los servicios, as como, la probabi-
lidad de que ocurran. En TI se suele realizar un anlisis de riesgos especfico en cada
uno de los tres procesos (incidentes, continuidad y seguridad), pero con objetivos
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 409
y, para cada uno de estos, se establecen los controles que harn posible alcanzar
el objetivo fijado. Las Normas ISO/IEC 27001 e ISO/IEC 17799 establecen cerca
de 40 posibles objetivos de control de la seguridad de la informacin.
Registro de seguridad. Informacin relativa a un aspecto o un evento de seguri-
dad que se almacena de una forma controlada. Los registros son un instrumento
esencial en las normas para desarrollar el principio de auditabilidad.
Plan de tratamiento de riesgos (RTP, Risk Treatment Plan). Documento base
que articula la implantacin de la gestin de los riesgos.
Plan Director de Seguridad de la Informacin (PDSI). Nombre un poco rimbom-
bante que se suele dar al documento que unifica todas las acciones a varios aos para
transformar la seguridad. Tiene categora de plan estratgico. Normalmente contiene
el plan de implantacin del proceso o del SGSI, y el plan de tratamiento de riesgos.
Probabilidad. Frecuencia con la que puede ocurrir un suceso, o la relacin entre el
nmero de casos favorables y el nmero de casos totales.
Riesgo. Es la posibilidad de que se materialice una amenaza y sta cause un
impacto en un determinado servicio o activo. El riesgo es funcin de la magnitud
de la amenaza, de la vulnerabilidad al mismo de los servicios y de la probabilidad
de que ocurra el suceso. En torno al riesgo aparecen un conjunto de actividades:
Aceptacin del riesgo. Decisin de aceptar un riesgo.
Anlisis del riesgo. Sistemtica de uso de informacin para identificar fuen-
tes y estimacin del riesgo.
Valoracin del riesgo. Todo el proceso de anlisis y evaluacin del riesgo.
Evaluacin del riesgo. Proceso de comparar un riesgo estimado con el
riesgo dado por los criterios para determinar la importancia del riesgo.
Tratamiento o gestin del riesgo. Proceso de seleccin e implantacin de
las medidas para cambiar el riesgo.
UNE-ISO/IEC 20000-2
Generalidades
El personal del proveedor del servicio
La seguridad de la informacin es el con roles de especialista en seguridad
resultado de un sistema de polticas y de la informacin debera estar familia-
procedimientos diseados para identifi- rizado con la norma ISO/IEC 17799,
car, controlar y proteger la informacin y Tecnologas de la informacin. Tcni-
cualquier equipamiento empleado junto cas de seguridad. Cdigo de prcticas
con el almacenamiento, transmisin y para la gestin de la seguridad de la
procesamiento de dicha informacin. informacin.
Las entradas desencadenantes del proceso son la definicin de una poltica de segu-
ridad en el negocio, que origina el inicio de la creacin del proceso; los requisitos
de seguridad del negocio concretados en los acuerdos de nivel de servicio; la ocu-
rrencia de un incidente severo de seguridad, pues este proceso colabora con la ges-
tin del incidente en la gestin de la crisis; y la llegada de un conjunto de fechas
especficas (de pruebas de seguridad, de revisin del plan de tratamiento de riesgos
o las fechas de las revisiones o auditoras).
El proceso utiliza unas entradas de soporte de otras fuentes necesarias para llevar a
cabo sus cometidos. Entre dichas entradas destacan el anlisis de riesgos realizado en
el plan de continuidad de TI, pues en caso de que se haya realizado aportar un enten-
dimiento mejor del negocio y de los riesgos; la informacin de incidentes y de los pro-
blemas ocurridos relacionados con la seguridad; los datos de la monitorizacin de los
sistemas y de la seguridad; los cambios en curso para supervisar que se evale su segu-
ridad; la informacin de los activos y de la CMDB; el entorno legal y regulatorio que
influye en la seguridad; los presupuestos asignados a la seguridad; etc.
Las salidas principales del proceso son la poltica de la seguridad definida; los resul-
tados de la evaluacin de riesgos de seguridad; el plan de tratamiento de los riesgos;
la declaracin de riesgos; los objetivos de control y los controles seleccionados; los
resultados de las auditoras de seguridad; o los informes relativos a la seguridad y
sus indicadores.
Las salidas secundarias, o de menor importancia, que se obtienen del proceso son,
por ejemplo, los requisitos formalizados para la seguridad; el plan de proyecto para
implantar el proceso de seguridad; los procedimientos para deteccin y respuesta a
incidentes de seguridad; una clasificacin de los activos en cuanto a su criticidad; el
personal de TI y de la empresa concienciado; los informes de los resultados de las
pruebas de seguridad; etc.
En la definicin de las actividades del proceso se han tenido en cuenta lo establecido
en la Norma ISO/IEC 27001 en su apartado 4.2, que agrupa las actividades de
gestin de la seguridad en torno al ciclo PDCA de Deming (vase la figura 6.6.6).
Extrayendo cada epgrafe del apartado 4.2 de la Norma ISO/IEC 27001 se esta-
blecen un total de 30 actividades. En la figura 6.6.7 se relacionan stas.
Como se ha mencionado anteriormente, en este libro se ha decidido respetar lo defi-
nido en ISO/IEC 27001 como la mejor va para llevar a cabo los requisitos estable-
cidos en las Normas ISO/IEC 20000, adems, para facilitar el entendimiento de las
actividades, se ha realizado una agrupacin intermedia. De esta forma, en el presente
proceso las actividades de gestin de la seguridad quedan estructuradas en dos nive-
les: el primero alineado el ciclo PDCA de ISO/IEC 27001, mientras que el segundo
nivel permite entender mejor el transcurso del proceso.
414 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
P Planificar A Actuar
Creacin del proceso o SGSI Mantenimiento y mejora
Establecer poltica, objetivos, evaluar el riesgo, Plan Implementar mejoras, acciones correctivas
seleccionar controles, obtener la aprobacin Planificar y preventivas, comunicar resultados,
de la direccin, declaracin de riesgos. asegurar implantacin de las mejoras.
Do Act
Hacer Actuar
D Hacer Check C Verificar
Implementacin y operacin Verificar Supervisin y revisin
Plan de tratamiento del riesgo, implementar Supervisar, monitorizar, revisiones regulares,
controles, formacin, implantar procedimientos medir la efectividad, auditoras, actualizar
gestin incidentes de seguridad. planes, registro de acciones y eventos.
En la figura 6.6.8 se muestra un esquema con las actividades del proceso, realizado
imitando el ya legendario esquema de gestin de la continuidad de ITIL v2.
Anlisis de riesgos
Evaluacin de riesgos
de seguridad
Seleccin de objetivos de
Requerimientos y estrategia
control y sus controles
Declaracin de
Declaracin de riesgos
riesgos de seguridad
Pruebas iniciales
Prueba de Supervisar,
Supervisin
controles monitorizar
y revisin
CHECK
Actualizar
Mantenimiento y mejora
ACT
Fuente: e.p. a partir del libro ITIL Provisin de Servicio publicado por OGC y de UNE-EN ISO 27001.
seguridad (si se est aplicando ISO/IEC 27001). La creacin del proceso se realiza
en las etapas de inicio, y de requerimientos y estrategia, al igual que en la implanta-
cin de los procesos de continuidad y disponibilidad. En el inicio se establece el
entorno necesario para que comience la implantacin de la gestin de la seguridad.
A partir del entorno del negocio, se determinan los requerimientos de seguridad, se
identifican los riesgos, se acuerda el tratamiento a los mismos, se establecen los
objetivos de control y se seleccionan los controles adecuados para conseguir estos
objetivos, y se realiza la declaracin formal de los riesgos.
Alcance, poltica y enfoque. Se concretan las directrices que debe cumplir
el proceso:
Definir el alcance (4.2.1.a 1): se concreta el alcance y los lmites del pro-
ceso en trminos de las caractersticas de la actividad del negocio, de la
organizacin, su ubicacin, sus activos y tecnologa, incluyendo los deta-
lles y la justificacin de cualquier exclusin del alcance.
Definir una poltica de seguridad (4.2.1.b): que incluya un marco para
la fijacin de objetivos y establezca una orientacin general; que tenga en
cuenta los requisitos de la actividad del negocio, los requisitos legales y las
obligaciones contractuales.
Definir el enfoque de la evaluacin de riesgos de la organizacin
(4.2.1.c): la metodologa seleccionada para la evaluacin de riesgos debe
asegurar que las evaluaciones de riesgos generen resultados comparables y
reproducibles.
1
Entre parntesis la referencia al epgrafe equivalente en la Norma UNE-ISO/IEC 27001.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 417
2
SoA, Statement of Applicability.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 419
seguridad, pues los controles son de todo tipo, unas veces sern directrices
internas, otras la designacin de funciones, otras requerir la compra de
equipamiento o de soluciones software, puede ser necesario cambiar la con-
figuracin de los sistemas, etc.
Definir el modo de medir la eficacia de los controles (4.2.2.d): la
medicin de la eficacia de los controles permite determinar hasta qu
punto los controles cumplen los objetivos de control planificados. Se
define la forma de medir la eficacia de los controles o de los objetivos
de control seleccionados, tambin se especifica cmo se tienen que usar
estas mediciones.
Enfoque del proceso en ITIL v3 muy similar a 27001 Actividades de gestin de la seguridad en ITIL v3
UNE-ISO/IEC 20000-1
La direccin, con la autoridad apropiada, debe aprobar una poltica de seguridad
de la informacin, que debe comunicarse a todo el personal implicado y, cuando
sea adecuado, a los clientes.
El comit de seguridad
La poltica de seguridad conviene que est respaldada por un rgano interno en el
que se traten todas las cuestiones que precisen de la intervencin de la direccin,
adems de servir como instrumento que ejecuta el compromiso con la seguridad de
la informacin.
El comit de seguridad, por su composicin, se convierte en el asesor del responsa-
ble de seguridad para las decisiones de mayor nivel en la organizacin en los asun-
tos relacionados con la seguridad de la informacin. Al frente del mismo se encuen-
tra el responsable del proceso de seguridad. El comit se debera reunir con una
periodicidad mnima mensual. El resultado de las reuniones de este comit deber
quedar reflejado en unas actas de reunin.
El comit de seguridad se responsabiliza de:
El asesoramiento al responsable de seguridad.
La comunicacin a toda la organizacin de la importancia de cumplir tanto
los requisitos de la norma como los legales y reglamentarios.
La evolucin de la poltica y objetivos de la seguridad.
El aseguramiento de la disponibilidad de presupuestos y recursos adecuados.
La aprobacin y respaldo ejecutivo a los planes de implantacin y de trata-
miento de riesgos de la organizacin.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 425
Que se realicen todas las actividades del proceso, desde la creacin, hasta el
mantenimiento y mejora.
La revisin de los temas de seguridad ms relevantes para la empresa u orga-
nizacin.
Evaluacin de riesgos
Es recomendable que la evaluacin de riesgos de seguridad y su tratamiento est
basada en alguna de las metodologas existentes relacionadas con esta materia,
como por ejemplo, CRAMM, NIST, Magerit, etc. Cada organizacin puede deci-
dir utilizar la metodologa que considere ms adecuada.
ISO/IEC 20000-2 recomienda adems que la evaluacin de riesgos se realice con
una periodicidad, que se registre, que se mantenga actualizada con los cambios, etc.
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
Se lleva a cabo un anlisis de las amenazas que pueden derivarse de cada una de
estas fuentes, en funcin de los activos existentes en la organizacin, los procesos y
servicios prestados, la posicin en el mercado, el tipo de clientes y los antecedentes.
Las amenazas se irn reflejando en el anlisis de riesgos, detallndose:
Tipo de amenaza. Por ejemplo, robo de informacin.
Motivo. Se indican los motivos que pueden provocar que una amenaza se
materialice.
Resultado (ataque o incidente). Se indican las consecuencias que tendra
para la organizacin cada una de las amenazas en caso de materializarse. Los
resultados tendrn alguna de las siguientes consecuencias sobre la informa-
cin: visualizacin, modificacin, destruccin o prdida, e interrupcin.
Riesgo Impacto
El nivel de riesgo de cada amenaza deber cruzarse con cada uno de los activos. De
este modo se conoce el riesgo total soportado por cada uno de los activos. Este
riesgo total es ponderado en funcin de la importancia dada al activo en el
momento de su identificacin. Para cada uno de los activos se tendr un nivel de
riesgo ponderado.
Determinar si los riesgos son aceptables. Con los valores de los riesgos calculados
se determinan los riesgos asumibles por la organizacin y los que no son aceptables.
Evitar el riesgo.
Transferir el riesgo a terceros (seguros, proveedores, etc.).
UNE-ISO/IEC 20000-1
Los controles se asocian a cada uno de los riesgos con el nivel de detalle necesario.
La seleccin de controles debe:
434 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Para cada una de estas reas de gestin de la seguridad se establecen sus objetivos
de control. Para cada objetivo de control se establece un conjunto posible de con-
troles. En ISO/IEC 27001 se propone un total de 39 objetivos de control y 133
controles. En la figura 6.6.13 se muestra un ejemplo de este contenido.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 435
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
Este mismo tema de terceros est desarrollado tambin en ISO/IEC 27001 (vase
el apartado A.6.2 Terceros) que establece como objetivo mantener la seguridad
de la informacin de la organizacin, as como la de los dispositivos de procesado
de la informacin que son objeto de acceso, tratamiento, comunicacin o gestin
por terceros.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 437
UNE-ISO/IEC 20000-1
Los incidentes de seguridad se deben comunicar y registrar tan pronto como sea
posible de acuerdo a los procedimientos de gestin del incidente. Se deben poner
en marcha procedimientos para asegurar que todos los incidentes de seguridad son
investigados, y que se toman medidas al respecto.
Se deben poner en marcha mecanismos para poder cuantificar y monitorizar los
tipos, volmenes e impacto de los incidentes y el mal funcionamiento de la seguri-
dad. Las acciones de mejora identificadas durante este proceso se deben registrar y
servir como informacin de entrada al plan de mejora del servicio.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 439
UNE-ISO/IEC 20000-2
Documentos y registros
Los registros se deberan analizar peri- c) dar entrada de informacin a un
dicamente para proporcionar informa- plan de mejora del servicio;
cin a la direccin en cuanto a: d) tener bajo control el acceso a la
a) la eficacia de la poltica de segu- informacin, los activos y los sis-
ridad de la informacin; temas.
b) las tendencias que aparezcan en La gestin de la seguridad de la infor-
los incidentes en seguridad de la macin debera estar documentada de
informacin; una manera fiable.
440 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
La documentacin debe incluir las decisiones de la direccin junto con los registros
de las mismas, debiendo quedar constancia de que las acciones dan respuesta a las
decisiones y a las polticas adoptadas, y garantizando que dichos documentos y los
correspondientes registros estn disponibles (vase el apartado 4.3 de la Norma
UNE-ISO/IEC 27001).
La gestin de la seguridad se puede implementar como un proceso ms dentro del
sistema de gestin del servicio de TI (SGSTI) o en base a un sistema de gestin
especfico para la seguridad (SGSI). De cara a simplificar y mantener una coheren-
cia, todos los modelos de gestin relativos a TI debern implementarse bajo el
paraguas formal del sistema de gestin de la calidad definido en la Norma ISO
9001. En la figura 6.6.14 se muestra esta tendencia a la unificacin de los sistemas
de gestin en TI (vase el captulo 3).
La documentacin del SGSI debe incluir (vase el apartado 4.3 de la Norma UNE-
ISO/IEC 27001):
Las declaraciones documentadas de la poltica y de los objetivos del SGSI.
El alcance del SGSI.
Los procedimientos y mecanismos de control que soportan al SGSI.
Una descripcin de la metodologa de evaluacin de riesgos.
El informe de evaluacin de riesgos.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 441
ISO/IEC ISO/IEC
20000 27001
Fuente: Telefnica.
Este proceso se apoya tambin en otros roles relevantes para el mismo y que son
ajenos al proceso:
444 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Resumen
El incremento continuo de las amenazas hace que la seguridad de la informacin
sea cada vez un aspecto ms crtico en las empresas. La red Internet es el cauce por
el que llegan la mayora de ellas. Si las amenazas han aumentado por esta va, las
vulnerabilidades tambin: la conectividad desde cualquier lugar, la proliferacin de
aparatos tecnolgicos en el mercado de consumo en la empresa, la gran capacidad
de los dispositivos de bolsillo en la empresa, etc.
La seguridad se ha convertido en los cimientos sobre los que se sustenta la infor-
macin de la empresa, cimientos que hay que cuidar continuamente para que no
pierdan su solidez.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 445
Responsable de la
gestin del servicio
Direccin
SGSTI
SGSI
Responsable
de seguridad
Administrador y
soporte del proceso
reas tcnicas de seguridad
Gestor continuidad TI
Beneficios
Entre los beneficios ms relevantes que proporciona la gestin de la seguridad de la
informacin destacan los siguientes.
Protege y aumenta la robustez y seguridad de los sistemas de informacin,
realizando un tratamiento adecuado de los riesgos, reduciendo el riesgo de
sustraccin o prdida de informacin esencial.
Proporciona confianza a todas las partes. A la direccin porque sus activos
estn mejor protegidos, al mercado porque son ms robustos los sistemas, y
al departamento de TI porque le permite cumplir las exigencias de la direccin.
Asegura que los incidentes de seguridad de la informacin son correcta-
mente gestionados, reduciendo su impacto en el negocio.
Establece auditoras de seguridad con regularidad, que comprueban la ade-
cuacin de las medidas de seguridad implantadas.
Aporta informacin a la direccin sobre el estado de seguridad de la empresa
u organizacin, de cara a adoptar las medidas que se consideren oportunas.
Fortalecimiento de la imagen ante el mercado y confianza de los clientes en
una organizacin que apuesta por la seguridad de la informacin.
Ahorro de costes por evitar incidentes de seguridad, en primas de seguros,
por sanciones derivadas de incumplimientos legales, etc.
6. Procesos de provisin de servicio
6.6. Gestin de la seguridad de la informacin 447
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 3:
Cmo se realiza la gestin de la seguridad de la informacin en su
empresa?
Est la direccin de su empresa implicada en la gestin de la seguri-
dad de la informacin?
La gestin de la seguridad se trata en su organizacin como un
mbito independiente o de forma integrada con los otros procesos de
gestin de los servicios de TI?
3 Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
7 Procesos de
Captulo 7
relaciones
7.1. Generalidades
Con el fin de garantizar que el proveedor de TI trabaje alineado con las necesida-
des de la empresa, las Normas ISO/IEC 20000 establecen los procesos de relacio-
nes. Regulan las relaciones en los dos extremos de la cadena de provisin de TI. Por
una parte se definen las relaciones con el negocio y, por otra, las relaciones con los
suministradores.
La misin de la gestin de las relaciones con el negocio es garantizar que se crean,
mantienen y mejoran continuamente los servicios de TI que necesita la empresa. Al
igual que en ITIL, en ISO/IEC 20000 el negocio est representado por la figura
del cliente. Se entiende como cliente a la persona, rea o reas de la empresa que
especifican los servicios de TI que necesitan y acuerdan los SLA. Para ello, el pro-
ceso de gestin de las relaciones con el negocio servir de interlocucin nico entre
el cliente y la organizacin de TI, para la identificacin de necesidades y la provi-
sin de los servicios. Cuenta con la colaboracin continua de la gestin de nivel de
servicio y de otros procesos, para tratar de encontrar el balance correcto entre la
demanda del cliente, la provisin de los servicios, el coste de los mismos y la satis-
faccin del cliente.
Por otra parte, hay que tener presente que los servicios que TI ofrece se construyen
formando un puzzle de piezas tecnolgicas, adecuadamente integradas y gestio-
nadas. Para mantener en marcha este puzzle de tecnologas, la organizacin de TI
necesita suministradores diversos: de hardware, de productos software, integrado-
res, consultores, empresas de servicios, etc. La gestin adecuada de dichos suminis-
tradores es tambin esencial para poder garantizar los niveles de servicio requeridos.
En este captulo se presentan las mejores prcticas para el xito en la gestin de las
fronteras de la organizacin de TI: con el negocio y con los suministradores.
7. Procesos de relaciones
7.1. Generalidades 453
7.1. Generalidades
Con frecuencia se oye hablar de la importancia de una gestin adecuada de las rela-
ciones, especialmente en el mbito de TI. Pero, en qu consiste la gestin de una
relacin?, aunque esta disciplina parece atractiva, no es fcil concretar su contenido
y conseguir con ello un aporte real a la mejora del servicio de TI.
En general, se puede decir que la gestin de una relacin es aquella disciplina que
establece el mtodo para que la interaccin entre dos partes sea eficaz, ayuda a que
transcurra con las mnimas fricciones y contribuye a que sea duradera (vase la
figura 7.1.1). Los mecanismos habituales que permiten regular y organizar una
relacin compleja son los siguientes:
El establecimiento de los objetivos principales que se quieren conseguir con
la relacin.
La definicin de los diversos interlocutores por cada parte, los perfiles perso-
nales y las habilidades necesarias.
La utilizacin de un marco, reglas y lenguaje comn aceptado por ambas
partes.
454 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los principales actores en los procesos de relacin son los clientes de los servi-
cios (tanto internos de otras reas de la empresa, como clientes comerciales rea-
les), el proveedor del servicio de TI (organizacin de TI o rea de TI a la que
se est aplicando estas normas) y los suministradores (que proporcionan bienes
o servicios a la organizacin de TI, que pueden ser internos de la empresa o
externos).
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Esta norma se dirige hacia el rol de un de servicio o de soporte interno que son
proveedor del servicio, el cual cumple a menudo designados como acuerdos
un papel entre los suministradores, que de nivel operacional.
proporcionan bienes o servicios a dicho
El proveedor del servicio juega un papel
proveedor del servicio, y los clientes, que
dentro de la cadena de suministro, en la
reciben los servicios.
cual cada eslabn debera aadir valor,
Tanto los suministradores, como los de forma que el proveedor del servicio
clientes pueden ser internos y externos que recibe bienes o servicios proceden-
a la organizacin del proveedor del tes del suministrador y entrega un servi-
servicio. cio mejorado al cliente.
Las relaciones externas se formalizarn A modo de aclaracin, dentro de esta
mediante contratos. Las relaciones inter- seccin el trmino proveedor del servicio
nas se formalizarn mediante acuerdos se utiliza siempre para describir la orga-
7. Procesos de relaciones
7.1. Generalidades 455
Si se echa una mirada a ITIL v2, se aprecia que no establece ningn proceso espe-
cfico que describa la relacin con los suministradores, aunque hace mucho hinca-
pi en que los contratos con suministradores (contratos de soporte, Underpinning
Contracts o UC) respalden los compromisos del nivel de servicio que TI asume con
sus clientes. En cambio, en ITIL v3 el libro Diseo del Servicio define especfica-
mente un proceso de gestin de suministradores.
En el marco para el gobierno y auditora de TI (COBIT) de estos temas se encuen-
tran referencias, indicadores y controles centrados principalmente en el control de
las adquisiciones y el gobierno de TI. No trata especficamente las relaciones con el
negocio ni las relaciones con los suministradores bajo el concepto de proceso.
En el mbito del desarrollo de software, las relaciones tanto con el cliente como con
los suministradores de desarrollo, estn bastante detalladas en el modelo CMMI. Asi-
mismo, la universidad Carnegie Mellon tambin ha desarrollado el marco eSCM-SP
(eSourcing Capability Model for Service Providers) formado por 84 prcticas especficas
para la gestin de suministradores y el ciclo de vida del sourcing en TI.
Adems, existen otros marcos de mejores prcticas en los que se trata la mejora de
las relaciones con los suministradores, como por ejemplo, el modelo ISPL (Infor-
mation Services Procurement Library1), que es un compendio europeo de mejores
1
Vase http://projekte.fast.de/ISPL/.
456 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
prcticas para la provisin y prestacin de proyectos y servicios TI. ISPL fue publi-
cado en 1999 por un consorcio de 5 organizaciones europeas dentro del programa
SPRITE-S2 de la Comisin Europea y se bas en la experiencia de ms de 200 pro-
cesos de compra reales en TI. Trata la definicin de una estrategia de aprovisiona-
miento de servicios (sourcing), as como las etapas posteriores: peticiones de oferta,
establecimiento del contrato, planificacin de la provisin y seguimiento de la eje-
cucin. ISPL hoy est en desuso, por lo que la llegada del proceso en ITIL v3 es
bien acogida por el mercado.
Otros modelos sectoriales tambin tratan el entorno de la gestin de suministrado-
res, como es el caso del modelo eTOM para el sector de las telecomunicaciones,
que contempla procesos como por ejemplo, la gestin de partners/suministradores
o la gestin de la cadena de suministro.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio 457
Figura 7.2.1. Actividades del proceso de gestin de las relaciones con el negocio
Las empresas e instituciones tienen cada vez una mayor dependencia de las tecnolo-
gas de la informacin. Los departamentos de TI, y las actividades que desarrollan,
han sido vistos tradicionalmente como una carga y un coste para el negocio, infrauti-
lizndose el potencial de la tecnologa para ponerse en primera lnea, aportando ideas
y abriendo nuevas oportunidades para la empresa. Para que las tecnologas de la
informacin estn alineadas con las necesidades de la empresa, es necesario instru-
mentar una va de comunicacin permanente, regulada y eficaz entre TI y el negocio.
La gestin de las relaciones con el negocio asegura que la comunicacin entre TI y
sus clientes sea clara y fluida (vase la figura 7.2.1). Se entiende como cliente a
las reas internas de la empresa o a las unidades externas que especifican y contra-
tan los servicios de TI, diferencindolo as de la figura del usuario que es la per-
sona que utiliza los servicios. Igual que el centro de atencin al usuario (service desk)
es el punto nico de contacto entre TI y la comunidad de usuarios, el proceso de
gestin de las relaciones con el negocio se convierte en canal nico de la comunica-
cin reglada entre TI y el negocio.
Este proceso se preocupa de dar una respuesta adecuada a las demandas del cliente,
actuando de interfaz entre el negocio y las reas de TI. Vela por la satisfaccin del
458 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Telefnica.
Para el desarrollo con xito de la misin de este proceso es necesario que el perso-
nal involucrado en l, por parte de TI, conozca a fondo la naturaleza del propio
negocio. Pero tambin es imprescindible que estos profesionales conozcan perfec-
tamente a TI y sus capacidades, para saber qu puede ofrecer y en qu condiciones.
460 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
El espritu de servicio al cliente es otro de los valores a buscar y potenciar entre los
participantes en este proceso, pero no es un requisito exclusivo del mismo, sino que
debe hacerse extensivo a toda la organizacin de TI. El rigor en la relacin facili-
tar a TI alinearse con el negocio, tomando nota de las necesidades, formalizndo-
las en requisitos, redactando las actas de las mismas, realizando un seguimiento del
cliente e impulsando en el resto de TI al cumplimiento de las demandas. As, estos
cuatro pilares en los que se sustenta este proceso se muestran en la figura 7.2.4.
Catlogo Necesidades
de servicios Servicios nuevos
o modificaciones
Cli
SLA: ent
e
Acuerdo PDCA
de nivel de SGSTI
servicio
TI
Informes Mejoras
del servicio
Reclamaciones Programa de mejora
al servicio del servicio (SIP)
Reuniones cliente-TI,
Encuestas y entrevistas
demanda y revisin
de satisfaccin
del servicio
UNE-ISO/IEC 20000-1
El proveedor del servicio debe identificar y documentar quienes son los actores prin-
cipales y los clientes de los servicios.
Objetivos y alcance.
Descripcin del servicio:
Funcionalidad.
Seguridad y continuidad.
Estimacin de plazos de provisin y entrega.
Estimacin de costes asociados.
Indicadores y mtricas de gestin.
Mecanismos de control y seguimiento de los
niveles de servicio acordados.
Fuente: Telefnica.
Los resultados o salidas principales del proceso de relaciones con el negocio son los
requisitos de servicio acordados con el cliente, los SLA firmados, los informes de
seguimiento entregados al cliente, los resultados de las encuestas de satisfaccin al
cliente y las propuestas de mejora. Otras salidas del proceso son, por ejemplo, los
informes emitidos sobre cmo se han resuelto las reclamaciones, las actas de las
reuniones con el cliente, etc.
La definicin de los requisitos puede resultar difcil, pues puede que el negocio no
sepa exactamente lo que quiere, por lo que pueden necesitar ayuda para compren-
der y definir sus necesidades. Hay que tener en cuenta que los requisitos expresa-
dos al inicio irn concretndose y diferirn de los que finalmente se acuerden. Si se
realiza facturacin del servicio, es frecuente que las diferencias entre lo solicitado
inicialmente y lo acordado sea mayor. Pueden ser necesarias varias tandas de nego-
ciaciones antes de lograr el equilibrio entre lo que se busca y lo que econmica-
mente se puede conseguir.
En la figura 7.2.10 se muestra un ejemplo de estructura para el SLR.
Objetivos y alcance.
Acuerdo de nivel de servicio firmado.
Datos de contacto del cliente.
Fecha de solicitud.
Descripcin del servicio:
Nombre del servicio.
Descripcin de las funcionalidades requeridas.
Caractersticas del servicio:
Fecha de inicio del servicio .
Fecha de finalizacin/desconexin del servicio.
Horario del servicio y soporte.
Requerimientos de disponibilidad y fiabilidad.
Requerimientos de seguridad y continuidad.
Requerimientos de interfaces.
Requerimientos de rendimiento (tiempos de respuesta).
Requerimientos de explotacin y operacin.
Diseo del nivel de servicio.
Modificaciones en caso necesario a los acuerdos de nivel
de servicio existentes.
Responsabilidad del diseo/departamentos involucrados:
Nombre del departamento.
Participacin requerida.
Responsables y datos de contacto.
Planificacin.
Fecha requerida de disponibilidad.
UNE-ISO/IEC 20000-1
El proveedor del servicio y los clientes se deben reunir, al menos una vez al ao,
para la revisin del servicio y para discutir cualquier cambio en el alcance del
mismo, en el SLA, en el contrato (si existe) o en las necesidades del negocio. Se
deben mantener reuniones a intervalos acordados para discutir el comportamiento y
las prestaciones, los cumplimientos, asuntos varios y planes de accin. Estas reunio-
nes se deben documentar.
A las reuniones puede invitarse a otros actores relacionados con el servicio.
Los cambios al contrato(s), si existen, y al SLA deben ser el resultado de las reunio-
nes mencionadas, cuando sea apropiado. Estos cambios deben estar sujetos al pro-
ceso de gestin del cambio.
El proveedor del servicio debe permanecer al tanto de las necesidades del negocio y de
los principales cambios en el mismo para preparar una respuesta a dichas necesidades.
UNE-ISO/IEC 20000-2
El proveedor del servicio y los clientes previo, tratar las necesidades de nego-
deberan realizar revisiones del servicio, cio actuales y previstas y proponer cual-
al menos anualmente y antes y despus quier cambio necesario en el alcance
de cambios importantes. La revisin del servicio y los SLA. Otros grupos de
debera considerar el comportamiento inters implicados como por ejemplo
472 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Conviene destacar varios aspectos que se deben tener en cuenta en las revisiones
del servicio con los clientes, apuntados por estas normas, pues suponen un avance
a muchas de las prcticas actuales. Son las siguientes:
El gestor de la relacin debe reunirse de forma peridica con todas las reas
cliente para revisar el servicio, los niveles de servicio prestados frente a los
requeridos en el SLA, el grado de satisfaccin del cliente, etc. Se trata de eva-
luar la calidad del servicio desde el punto de vista del cliente.
El mantenimiento de reuniones en los plazos acordados y, como mnimo,
una vez al ao. Lo habitual es que las reuniones de revisin con los clientes
sean mensuales. En servicios crticos en perodos de inestabilidad las reunio-
nes pueden llegar a ser semanales.
Las reuniones de revisin deberan estar procedimentadas, para que transcu-
rran de una forma eficiente y no se deje ningn tema sin tratar. De estas reu-
niones debe haber un acta formalizada y aprobada por todas las partes.
A las reuniones con los clientes se puede invitar a otros actores, pues la rela-
cin con el cliente no es un coto cerrado. Ahora bien, la asistencia de diver-
sos miembros debe ser preparada para presentar entre todos una imagen de
TI coherente y alineada hacia los mismos objetivos. No hay nada ms
penoso que una discusin interna de TI delante del cliente.
Como consecuencia de estas reuniones, surgirn propuestas de cambio al
servicio o al SLA. Toda propuesta de cambio se gestionar con una peticin
de cambio reglada (RFC) que pasar al control del proceso de gestin del
cambio.
Este contacto permanente debe aprovecharse para que TI est al tanto de
la situacin y evolucin del rea de negocio, con el objetivo de facilitar la
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio 473
anticipacin de TI. Por ello, el gestor de las relaciones con el negocio debe-
ra concretar esta informacin obtenida en un informe, o un comunicado por
escrito, a la direccin de TI o al rea de estrategia de TI, de los cambios de
tendencia junto con una prediccin sobre las demandas futuras del rea
de negocio hacia TI.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Ficha de reclamacin
En las Normas ISO/IEC 20000 no queda clara la distincin del trmino cliente
(rea cliente de TI que especifica los servicios) y de usuario (persona que utiliza los
servicios). Por lo que el tratamiento de la medicin de la satisfaccin del cliente en
estas normas se debe entender que corresponde a los dos mbitos: al cliente y al
usuario.
UNE-ISO/IEC 20000-1
El proveedor del servicio debe tener una o varias personas asignadas como respon-
sable(s) de gestionar la satisfaccin del cliente y todo el proceso de gestin de rela-
ciones con el negocio. Debe existir un proceso de medicin peridica de la satisfac-
cin del cliente para obtener informacin y comentarios, y actuar en consecuencia.
Las acciones de mejora que se identifiquen durante este proceso se deben registrar y
utilizar como informacin de entrada para un plan de mejora del servicio.
UNE-ISO/IEC 20000-2
Se debera medir la satisfaccin del de forma que los clientes puedan respon-
cliente para permitir al proveedor del ser- der fcilmente y sin que se requiera un
vicio comparar el desempeo con los excesivo tiempo para cumplimentar de
objetivos de satisfaccin de clientes y con una manera adecuada dicha encuesta.
encuestas previas. El alcance y la comple- Se deberan investigar las variaciones
jidad de la encuesta se deberan concebir significativas en los niveles de satisfac-
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio 477
cin para llegar a entender las razones deberan tratar con el cliente. Se debe-
de las mismas. ra acordar un plan de accin, utilizn-
Los anlisis de tendencias u otras com- dolo como entrada para un plan de
paraciones solo deberan realizarse mejora del servicio sobre cuyo progreso
sobre preguntas comparables y entre se informe al cliente.
mtodos de muestreo comparables. Las felicitaciones sobre el servicio se
Los resultados y conclusiones de las deberan documentar y dar a conocer al
encuestas de satisfaccin del cliente se equipo que est prestando el servicio.
Fuente: Telefnica.
Figura 7.2.12. La misin de punto de contacto nico con el cliente de este proceso
Los roles de mayor relevancia que participan en el proceso de gestin del cambio
se representan en la figura 7.2.14.
Entre las habilidades y aptitudes necesarias, tanto del responsable del proceso
de gestin de relaciones con el negocio como de los gestores de cliente, deben
destacar:
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio 481
Responsable de la
gestin del servicio
Gestor de las relaciones
SGSTI
con el negocio
Propietario del
modelo (SGSTI)
Administrador y soporte
del proceso de relaciones
con el negocio
Figura 7.2.14. Roles del proceso de gestin de las relaciones con el negocio
Innovacin respecto a la calidad del servicio y los modos en que puede mejo-
rarse dentro de los lmites de la organizacin.
Saber escuchar y tener la capacidad de aplicar los conocimientos recin
aprendidos de una manera efectiva.
Resumen
La gestin de la relacin con el negocio permite una mejor alineacin continua de
TI-Negocio, facilita y formaliza la relacin para asegurar que la actividad de TI se
enfoca a las necesidades de la empresa.
Establece una disciplina de comunicacin que, con un conjunto de documentos,
permite mejorar la efectividad de la relacin. Los principales medios de formaliza-
cin que aporta o utiliza este proceso son:
El catlogo de servicios, que constituye la base para el dilogo.
Las necesidades del cliente se registran en una hoja de requerimientos del
servicio (SLR).
Se negocia la formalizacin de los compromisos mediante los acuerdos de
nivel de servicio (SLA).
Se mantienen reuniones de seguimiento peridicas del servicio prestado.
Las quejas del cliente se registran como reclamaciones.
Se conoce la opinin del cliente y de los usuarios mediante encuestas y entre-
vistas.
Beneficios
La gestin de las relaciones con el negocio se asegura de que las actividades lleva-
das a cabo en la provisin de los servicios contribuyen a los objetivos de negocio
del cliente. Entre los beneficios obtenidos destacan:
Se asegura que el objetivo de TI es la satisfaccin del cliente y que sta se
mide.
Saca a TI de su mundo tecnolgico para orientarse al negocio.
Fuerza a TI a trabajar para lo que necesita el negocio.
Las relaciones con las reas cliente se gestionan con mayor profesionalidad.
7. Procesos de relaciones
7.2. Gestin de las relaciones con el negocio 483
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cmo se desempean las relaciones entre TI y las reas de negocio en
su organizacin?
Cmo se tratan las quejas de los clientes en su empresa?
Cul es la frecuencia y contenido principal de las encuestas a las reas
cliente en su organizacin?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
7. Procesos de relaciones
7.3. Gestin de suministradores 485
capacidad de reaccin del equipo tcnico que recibe el servicio contratado. La rea-
paricin de este proceso primero en ISO/IEC20000 y despus en ITIL v3 (en el
libro de Diseo del Servicio) pone de manifiesto la importancia que tiene en la nor-
mativa y marcos de buenas prcticas. En el presente apartado se presenta una visin
integral de la gestin de suministradores, que se inicia con la definicin de la estra-
tegia y concluye con el trmino de los servicios contratados. Esta visin va ms all
de los lmites establecidos en ISO/IEC 20000 para el proceso.
La gestin de suministradores es toda actividad dirigida a que los servicios contra-
tados al suministrador se presten segn la forma acordada, para obtener el benefi-
cio previsto de los contratos para la organizacin de TI. Por tanto, la gestin de
suministradores supervisa, gua y exige a los suministradores el cumplimiento de lo
pactado en el contrato. Y, por otra parte, tambin debe velar porque la propia orga-
nizacin de TI contratante haga todo lo posible para que el servicio se preste con la
fluidez deseada.
Recalcar la diferencia terminolgica entre suministrador o empresa externa a la que
se contrata algn producto o servicio y el trmino proveedor de TI en ISO/IEC
20000, que se refiere a la propia organizacin de TI o al departamento interno de
informtica.
En la figura 7.3.2 se presenta un esquema introductorio al proceso.
rutina habitual en la prestacin del servicio, de tal forma que las reuniones, infor-
mes, escalados, etc. fluyan con total normalidad sin necesitarse un esfuerzo espec-
fico para conseguirlos.
Junto a esta faceta, el rigor en la relacin, manteniendo un trato formal y documen-
tado, permitir dejar trazas y evidencias de todo lo acontecido a lo largo de la his-
toria de la relacin con cada uno de los suministradores.
No hay que olvidar que la relacin con el suministrador se desarrolla en un marco
contractual, en el que debe haber una cobertura legal para la prestacin y la gestin
de los desacuerdos. El carcter contractual debe estar presente a lo largo de toda la
relacin.
El cuarto aspecto importante es el relativo a la funcin de interlocutor entre la
organizacin de TI y los suministradores. Para tener xito en la mediacin es nece-
sario que se conozcan y se gestionen los mecanismos que se van utilizar para que
fluya la relacin con los suministradores y asegurar as el cumplimiento de lo con-
tratado y la satisfaccin mutua. Frecuentemente se ignora esta faceta de facilitador
interno con toda la organizacin de TI para alcanzar los objetivos esperados en las
contrataciones, pero se debe velar por que todo el mundo cumpla con su parte. En
ocasiones, es el propio personal de la organizacin contratante quien dificulta o
ralentiza la prestacin del servicio. Otras veces, son las deficientes interfaces entre
las herramientas las que dificultan el flujo de intercambio de informacin, de peti-
ciones o de trabajos.
En la gestin de suministradores, normalmente los problemas suelen surgir en las
fronteras e interfaces. En las fronteras en cuanto a la determinacin de los lmites
de lo contratado, entrando en discusiones sobre si una actividad est contratada o
no. En las interfaces por la necesidad de integracin de los sistemas, organizacio-
nes, culturas, procesos y formas de hacer entre la organizacin TI contratante y las
diversas organizaciones de prestacin de servicios de los suministradores.
De forma general, aunque no plenamente coincidente con las normas y estndares
de referencia, como se ver ms adelante, el alcance de este dominio (gestin de
suministradores) debera comprender desde la definicin de la estrategia de sour-
cing (realizada en el mbito de la definicin de la estrategia general de TI), pasando
por la seleccin y contratacin, para seguir con la prestacin o recepcin de los ser-
vicios, hasta concluir con la etapa de finalizacin de los mismos.
De esta forma, y tomando como referencia el proceso similar definido en ITIL (en
su versin 2 dentro del libro Business Perspective, y en su versin 3 dentro del libro
Diseo del Servicio), en este captulo se desarrolla un enfoque propio en el que,
cubrindose tambin las actividades de establecimiento de la estrategia de sourcing
y de finalizacin o terminacin del suministro, las actividades se agrupan en dos
490 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fases del ciclo de vida del outsourcing desde la perspectiva de organizaciones contratantes
Figura 7.3.5. Esquema del modelo de gestin de outsourcing del modelo eSCM-CL
492 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Suministrador 1
Proveedor de TI
Negocio Suministrador 2
(rea TI)
Suministrador 4
Suministrador 3
subcontratado
PDCA
Mejora
SGSTI
Los componentes principales que se emplean en el proceso son, por orden alfab-
tico, los siguientes:
Contrato. Documento legal que formaliza la compra o la contratacin.
Contrato de soporte (UC, Underpinning Contract). Trmino muy utilizado
en el mbito de ITIL. Se refiere al contrato especfico de servicios con un
suministrador externo en el que se fijan los niveles de servicio que el sumi-
nistrador debe cumplir. Los niveles de servicio pactados en los contratos de
soporte deben ser igual o ms exigentes que los acordados con las reas clien-
tes en los SLA.
Declaracin de requisitos (SOR, Statement Of Requirements). La declaracin
de requerimientos es el trmino utilizado en ITIL v3 para referirse a la RFP.
Estrategia de sourcing. La estrategia de sourcing determina qu actividades
o funciones se van a realizar internamente (retenidas) y cuales se van a con-
494 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
contractual y pasa a formar parte del contrato final (est relacionado con otra
forma de emitir solicitudes de ofertas denominadas: ITT, Invitation To Tender).
Si se ha realizado un RFI previo, se toman sus resultados como punto de par-
tida. Toda compra importante debera llevar una RFP que especifique todos
los detalles y acuerdos de la compra. La RFP se remite a los suministradores
candidatos y suele formar parte del contrato final.
Polticas de contratacin. Directrices y normativas internas que dictan las
pautas establecidas en la estrategia de sourcing que se deben seguir en todas
las adquisiciones o contrataciones.
Proveedor de TI. Organizacin, departamento, rea de TI que presta los
servicios de TI. Es el contratante de los servicios de terceros que necesite
para ser capaz de proveer los servicios TI prestados al negocio.
RFI (Request For Information). Peticin de informacin, de ideas y de enfo-
ques que solicita la organizacin de TI a ciertos suministradores clave.
Mediante la RFI se plantea al mercado una situacin y se le solicitan ideas y
posibles soluciones. Con los resultados de este sondeo se enfoca de forma
ms precisa la contratacin a realizar.
SCD (Supplier and Contract Data base). Es la base de datos de suministrado-
res y contratos, que centraliza y registra toda la informacin sobre los con-
tratos realizados. Este trmino se ha acuado en ITIL v3, aunque el con-
cepto ya era muy conocido en el mercado.
Servicio. En lo relativo al trmino de servicio, surge un nuevo conflicto ter-
minolgico, pues tambin se denomina servicio a la prestacin contratada a
un suministrador. Por tanto, ya existen tres tipos de servicios:
Los servicios que comercializa el negocio al mercado, que en algunas oca-
siones son servicios de TI puros.
Los servicios que presta el proveedor o rea de TI internamente a las reas
de cliente de la empresa.
Los servicios que presta un suministrador al proveedor o rea de TI.
del contrato final). El trmino ITT se utiliza en ITIL v3, mientras que en la
versin 2 se utiliza ms RFP.
La RFP o la ITT son formas parecidas de solicitar ofertas al mercado para efec-
tuar una compra y, por tanto, deben tener asignado un presupuesto interno.
Sourcing. El trmino sourcing comprende todas las actividades relativas al
aprovisionamiento de productos y a la provisin y el soporte de los servicios,
necesarias para poder prestar el servicio de TI. En los dos extremos del sour-
cing estn: el outsourcing (externalizacin completa de una unidad de TI) y el
insourcing (realizacin de la actividad internamente por el personal de planti-
lla y subcontratado). Entre medias est el outsourcing selectivo (externaliza-
cin de funciones al mejor suministrador en cada una de ellas) y una amal-
gama de posibles subcontrataciones. La proporcin de cada uno depende de
las polticas y estrategias de sourcing de la organizacin. Por tanto, el con-
cepto de sourcing va ms all de su traduccin literal por suministro, pues
tambin incluye las actividades internas retenidas en la organizacin de TI.
Subcontratistas. Empresas a las que un suministrador contrata a su vez algn
servicio necesario para prestar el servicio contratado con el proveedor TI.
Suministrador de TI. Empresa externa al proveedor de TI que provee
algn producto, o presta algn de servicio a ste, bajo un contrato de com-
pra o de prestacin. El abanico de suministradores es muy amplio y com-
prende a fabricantes de equipamiento hardware, fabricantes de productos
software, proveedores de telecomunicaciones, servicios mantenimiento hard-
ware y software, servicios de soporte, servicios de body shopping, consultores,
integradores, servicios de valor aadido, outsourcers de funciones especficas
de TI, outsourcers integrales, etc.
Conviene destacar que, para evitar la confusin terminolgica, en las Nor-
mas ISO/IEC20000 se ha adoptado el trmino de suministrador para desig-
nar a toda organizacin a la que se le contrata algn tipo de prestacin, que-
dando el trmino proveedor para aquellas organizaciones que quiere cumplir
con lo especificado por la norma (a efectos de certificacin). Se distingue,
as, entre suministrador de TI y proveedor de TI (rea o departamento de
TI). Esta consideracin es muy importante en el mbito de estas normas, y
hay que afinar el lenguaje, utilizando siempre suministrador para estas pres-
taciones contratadas externamente.
Tipos de sourcing. Los tipos de sourcing son tan variados como tipos de ser-
vicios, o parte de los mismos, que se pueden contratar. Los tipos ms fre-
cuentes en el mercado son: internalizacin o realizacin interna, prestacin
de servicios o body shopping, outsourcing selectivo, y outsourcing completo.
7. Procesos de relaciones
7.3. Gestin de suministradores 497
Fuente: e.p. y Libro ITIL Diseo del Servicio publicado por OGC.
UNE-ISO/IEC 20000-1
El proveedor del servicio debe tener documentados los procesos de gestin de suminis-
tradores y debe designar un gestor responsable del contacto con cada suministrador.
500 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los SLAs con los suministradores se deben alinear con los SLAs con el negocio.
Las interfaces entre los procesos utilizados por cada parte deben ser acordadas y docu-
mentadas.
Todos los roles y relaciones entre suministradores principales y subcontratados deben
estar claramente documentados. Los suministradores principales deben ser capaces
de demostrar que tienen procesos para garantizar que los subcontratistas cumplen
con los requisitos contractuales.
Se debe disponer de un proceso para la revisin detallada del contrato o del
acuerdo formal, con periodicidad mnima anual, que garantice que las necesidades
y obligaciones contractuales del negocio se siguen cumpliendo.
UNE-ISO/IEC 20000-2
Estrategia de sourcing
La estrategia de sourcing forma parte de la estrategia general de TI. En la estrategia
de sourcing se definen las actividades que se realizarn internamente en la organiza-
cin de TI y las actividades que se externalizarn. Por tanto, la estrategia de sourcing
define la forma en que se cubrirn las necesidades para la creacin y prestacin de los
servicios. Abarca tanto a las reas de desarrollo como las de produccin o explota-
cin, contemplando todo tipo de funciones de TI (planificacin y control, arquitec-
tura, programacin, operacin, tcnica, etc.). Para todas ellas, se define que activida-
des se realizarn internamente y en cules se recurrir al apoyo de suministradores.
Adems, la estrategia de sourcing refleja la visin final deseada en cuanto al mapa de
suministradores, definiendo si habr una concentracin de suministradores o una
atomizacin de los mismos, el nmero idneo de suministradores deseado, etc.
La estrategia de sourcing define los tipos de servicios que puede contratar la organi-
zacin de TI. stos son de muy diversa ndole. En la figura 7.3.11 se muestran
diversos ejemplos de tipos de contrataciones que se podran realizar.
Ejemplos de contrataciones
1
Documento: Best practices for creating an IT service sourcing strategy. Gartner 2007.
7. Procesos de relaciones
7.3. Gestin de suministradores 503
tipos, se debe definir cules de sus actividades se deben retener y cules se pueden
externalizar (vase el ejemplo de la figura 7.3.13).
Gestin Retener
involucradas
Control Retener
Tecnolgicas Externalizar
+ Operativas Externalizar
Gobierno
Funciones de TI Arquitectura Desarrollo Produccin
de TI
Internalizado
Gestin INTERNO INTERNO INTERNO INTERNO
Externalizado
Tecnolgicas EXTERNO EXTERNO EXTERNO
Frontera tpica
de externalizacin INTERNO Internalizado EXTERNO Externalizado
Mejora
Estrategia Diseo Construccin Transicin Operacin
continua
Servicios TI
PC, LAN,
INTERNO INTERNO
ficheros
SUMINISTRADOR A
Movilidad
INTERNO INTERNO
(WIFI+RAS)
Comunica-
INTERNO SUMINISTRADOR G INTERNO
ciones WAN
Diversos
INTERNO Internalizado SUM. n
suministradores
Dado que los tipos de adquisiciones gestionados pueden ser muy diversos, desde
un equipamiento sencillo, pasando por un proyecto llave en mano, hasta la contra-
tacin de un servicio de externalizacin a varios aos, es necesario que los procedi-
mientos existentes se adapten a la envergadura y criticidad de cada tipo de adquisi-
cin. En las simples y repetitivas, bastar con una sencilla hoja de peticin de
compra. En cambio, en los grandes proyectos ser necesario recorrer todas las eta-
pas: la RFI, pasando por el caso de negocio, la aprobacin de la inversin, la gene-
racin de la RFP, etc.
Incorporando la estructura de las actividades definidas en ITIL v3 a este ciclo de selec-
cin y contratacin queda un esquema como el que se muestra en la figura 7.3.16.
Necesidad de TI.
RFI.
Actividades de seleccin y contratacin Caso de negocio.
RFP (SOR).
Hoja de compra.
Identificacin de la necesidad y preparacin del caso de negocio Asiento de la peticin
de compra en el ERP.
Evaluacin y provisin de nuevos contratos y suministradores Hoja seguimiento
de ofertas.
Implementacin de nuevos suministradores y contratos
Contrato (UC).
Como se ha apuntado, la realizacin del caso de negocio o business case slo se reco-
mienda en las grandes inversiones. Se analizarn las alternativas, los costes y los
beneficios del proyecto tanto para el negocio, como para la organizacin de TI.
Una vez realizado, el comit de inversiones o la direccin de TI decidirn si es id-
neo llevarlo a cabo y la alternativa ms adecuada. El caso de negocio y la gestin de
la aprobacin del presupuesto asociado los suele realizar el rea proponente traba-
jando para el proceso de gestin de suministradores. La estructura y el contenido
tipo de un caso de negocio deben estar estandarizados en la organizacin para evi-
tar reinventar continuamente la rueda y reducir el tiempo de su confeccin. Para la
realizacin de los casos de negocio se necesita informacin de los costes unitarios y
totales de la actividad, de los mantenimientos, de las amortizaciones, etc. Esta
informacin analtica de los costes conviene recogerla y mantenerla centralizada
para los diversos estudios que se realicen. En la figura 7.3.17 se muestra un ejem-
plo de estructura de un caso de negocio.
De forma previa a la realizacin del caso de negocio, puede ser necesario hacer una
consulta o peticin de ideas (RFI) a los proveedores principales, que pudieran dar
una orientacin sobre la solucin ms adecuada. La RFI permite realizar una pros-
peccin del mercado en un mbito en el que no se tiene experiencia y, en cierta
manera, ahorra la contratacin de una consultora externa. La RFI tambin la rea-
liza el rea proponente de la compra y, en contra de la prctica habitual, siempre lo
debe remitir al mercado el rea de compras, ambas trabajando bajo este proceso de
gestin de suministradores.
Especificacin de compra
(RFP o SOR) enfocada
a una externalizacin
Fichas de suministradores:
3 Cdigo y nombre del suministrador.
3 Contactos principales.
3 Contratos realizados.
3 Volumen total contratado por ejercicios.
3 Valoracin del suministrador.
Fichas de contratos:
3 Cdigo y ttulo del contrato.
3 Servicios contratados. Descripcin.
3 Niveles de servicio a cumplir.
3 Importe contratado.
3 Fechas y perodo del contrato.
3 Fecha lmite para la comunicacin de la terminacin
del contrato.
3 Valoracin de los resultados del contrato.
3 xitos y conflictos surgidos.
Relaciones:
3 Tipos de relaciones y procedimientos.
3 Interlocutores para cada una de ellas.
3 Interfaces entre herramientas.
3 Histrico de la relacin.
UNE-ISO/IEC 20000-1
desplegar lo necesario para que este flujo sea efectivo: reuniones, interlocutores,
herramientas, interfaces, procedimientos, escalados, etc. Por tanto, ste es un ciclo o
subproceso que prepara los conectores entre la organizacin de TI y sus suminis-
tradores, para supervisar posteriormente su funcionamiento.
En las Normas ISO/IEC 20000 se establecen unos requisitos muy bsicos para la
gestin de la prestacin del servicio del suministrador:
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.
los productos o servicios recibidos, integra los servicios recibidos de los suministra-
dores con los servicios de TI ofrecidos a las reas cliente, y supervisa de forma conti-
nua el funcionamiento de las herramientas y las interfaces para garantizar que el tra-
bajo fluye con normalidad.
Para asegurar una correcta relacin con los suministradores es fundamental el esta-
blecimiento de conductos de comunicacin eficientes, que permitan a ambas partes
profundizar en su conocimiento mutuo. De esta forma, la interrelacin para la
prestacin diaria de los suministradores se suele articular en base a tres tipos de uni-
dades de informacin que fluyen hacia los suministradores:
Tickets. Traspaso de tickets de incidentes y peticiones de servicio recogidas
en el catlogo de servicios, que normalmente provienen directamente del
contacto con el usuario.
rdenes de trabajo. Envo de rdenes de trabajo o peticiones, que son
generadas por la organizacin de TI para solicitar trabajos al suministrador
(cambios, informes, actuaciones, etc.).
Proyectos. Actividades de mayor envergadura y complejidad que suelen
contener unos objetivos, una planificacin, unos compromisos, una direc-
cin especfica, un presupuesto determinado, etc. Los proyectos pueden ser
de todo tipo: de desarrollo de software, de arquitectura, de diseo, de plata-
forma tecnolgica, etc.
UNE-ISO/IEC 20000-1
Los cambios al contrato(s), si existen, y los SLAs deben ser el resultado de estas revi-
siones o de aquellas requeridas en cualquier otro momento. Cualquier cambio debe
estar sujeto al proceso de gestin del cambio.
UNE-ISO/IEC 20000-2
Revisin peridica de los objetivos del servicio frente a las necesidades del
negocio, objetivos y acuerdos. Se suele realizar en el mbito del comit ejecutivo.
Se identifican los puntos conflictivos, el desempeo de los interlocutores y se rea-
liza la revisin de todos los indicadores comprometidos. Su periodicidad suele ser
trimestral, con los suministradores esenciales, y anual con el resto. Tambin se
deben replantear si los objetivos contratados estn alineados con las necesidades
de TI y del negocio.
En este mbito se llevan a cabo dos tipos de revisiones formales: la revisin del
desempeo del suministrador (en base a revisiones del servicio) y la revisin del con-
trato (del rendimiento, de los escalados, los costes, las variaciones en la demanda, las
mejoras al servicio, la opinin de los clientes, etc.).
Planificacin para posible cierre, renovacin o extensin. Toda la actividad dia-
ria debe estar concebida para que se retenga el conocimiento, de esta forma, la
dependencia de un suministrador determinado es menor. Adems de esto, con la
anticipacin necesaria (normalmente 3 meses antes) se debe decidir si se continuar
con el servicio, se proceder a su renovacin y en qu mbitos se modificar su
alcance. En funcin de la decisin tomada, se iniciarn las acciones de recopilacin
de informacin, auditoras necesarias, denuncia del contrato, etc.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Fuente: Libro ITIL Diseo del Servicio publicado por OGC y e.p.
Llegada la fecha en la que el contrato finaliza, se deben realizar dos acciones princi-
pales (segn ITIL v3).
526 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Tanto el proveedor del servicio como el que no puedan ser resueltos mediante
suministrador deberan funcionar con- el procedimiento ordinario.
forme a un proceso para gestionar los El proceso debera asegurar que los
conflictos, el cual se debera definir o conflictos son registrados, investigados,
referenciar dentro del contrato. que se toman las acciones necesarias
Debera existir un procedimiento o itine- sobre ellos y que se cierran formal-
rario para poder escalar los conflictos mente.
7. Procesos de relaciones
7.3. Gestin de suministradores 527
UNE-ISO/IEC 20000-2
Debera quedar claro si el proveedor del cin del proveedor del servicio si as lo
servicio trata con todos los suministradores requiere.
de forma directa o mediante un suministra-
El proveedor del servicio debera obtener
dor principal que toma la responsabilidad
evidencias de que los suministradores
de los suministradores subcontratados.
principales gestionan formalmente a los
El suministrador principal debera regis- suministradores subcontratados; guin-
trar los nombres, responsabilidades y dose, cuando sea apropiado, por los
relaciones entre todos los suministrado- requisitos incluidos en la Norma ISO/IEC
res subcontratados y ponerla a disposi- 20000-1.
Los roles ajenos que son relevantes en este proceso son los siguientes.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados. Aporta los niveles de servicio a mantener en
los contratos.
Las reas de TI proponentes de las compras, que son las que solicitan la rea-
lizacin de las compras.
El responsable de informes, aportando los informes que se deben entregar al
cliente.
7. Procesos de relaciones
7.3. Gestin de suministradores 531
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
continua del mismo. Todo ello, de una forma integrada con el modelo de
gestin del proveedor de TI incorporado en el SGSTI.
Estrategia Seleccin y
Prestacin
de sourcing contratacin
Responsable de la
gestin del servicio
Chief Sourcing Responsable Gestor de las
SGSTI Officer de compras relaciones con
el suministrador
Propietario del
modelo (SGSTI)
Administrador y
soporte del proceso
Gestor de
suministradores
Gestores del reas de TI proponentes
nivel de servicio de las compras
Resumen
La maduracin del sector lleva paulatinamente hacia la concentracin de la fbrica
de los servicios de TI en empresas especializadas que prestan servicios al resto de
532 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
organizaciones internas de TI. Lo que permite que las empresas se centren en las
actividades que aporten un valor diferencial a su negocio, recurriendo a la exter-
nalizacin de las funciones no esenciales que el mercado comercializa empaque-
tadas en forma de producto o servicio (ERP, mantenimiento correctivo de soft-
ware, comunicaciones, hosting, monitorizacin, operacin, atencin telefnica al
usuario, etc.).
Como consecuencia, cada vez se externalizan ms actividades de la organizacin de
TI. Por ello, la gestin de los suministradores, casi inexistente hasta, ahora se ha
convertido en un proceso clave para el xito en los servicios de TI.
La gestin de suministradores tambin debe tener en cuenta que detrs de un sumi-
nistrador hay personas, que adems de ser eficientes en el cumplimiento de sus
compromisos, tienen sentimientos, vida personal, familia, frustraciones, etc.
De forma histrica las grandes organizaciones han desarrollado el ciclo de seleccin
y contratacin de suministradores, implementando buenas prcticas y polticas en
la seleccin y en la contratacin. En cambio, el ciclo de gestin de la prestacin del
suministrador es apenas un recin nacido, pero esencial en un escenario con cada
vez ms funciones de TI externalizadas.
Los aspectos ms destacados de este proceso son los siguientes:
El proceso de gestin de suministradores abarca todo tipo de servicios, desde
la compra de productos, pasando por la contratacin de servicios, hasta los
diversos tipos de externalizaciones.
La estrategia de sourcing define las actividades que se realizarn interna-
mente y las que se contratarn a los suministradores. Una vez definida, la
implementacin de esta estrategia pasa por el establecimiento de acuerdos
marcos de tarifas con los suministradores principales, que promocionen ms
agilidad para las contrataciones del da a da y faciliten la tendencia hacia una
consolidacin de suministradores.
El proceso, bajo aproximacin pura ISO/IEC 20000, partira de una estrate-
gia de sourcing ya definida para dividirse en dos grandes ciclos, junto con una
actividad de finalizacin del contrato:
El ciclo de seleccin y contratacin de productos y servicios.
El ciclo de gestin de la prestacin de los suministradores.
Beneficios
La gestin de suministradores permite garantizar que las necesidades de la organi-
zacin de TI se aprovisionan de forma alineada con la estrategia general, y que los
productos y servicios contratados cumplen con los acuerdos firmados. Entre los
beneficios obtenidos destacan:
Definicin de una estrategia de sourcing, que identifica las actividades crticas
a retener y las funciones que se externalizarn.
Se asegura la ejecucin de la estrategia de sourcing en lo relativo a la contra-
tacin externa.
534 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Segn su opinin, qu debe contemplar la estrategia de sourcing de TI?
Cmo se realizan la seleccin y contratacin de suministradores en su
organizacin?
Segn su experiencia, qu aspectos destacara en la gestin de los sumi-
nistradores?
2 Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
8 Procesos de
resolucin
Captulo 8
8.1. Antecedentes
8.1. Antecedentes
La gestin del incidente se centra en restaurar el servicio cuanto antes, sin admitir
dilaciones por investigaciones tcnicas. Su objetivo es que todo servicio cado o
degradado retorne cuanto antes a la normalidad.
Mantener nicamente esta actividad frentica de apaga fuegos no sera produc-
tivo, pues los defectos no reparados produciran ms y ms incidentes. As, de
forma independiente, se debe realizar una labor ms sosegada y concienzuda
de anlisis de los fallos, para buscar soluciones definitivas. Aqu aparece la necesi-
dad de un nuevo proceso como la gestin del problema.
Las Normas ISO/IEC 20000 dedican unos prrafos introductorios a los procesos
de resolucin, estableciendo una relacin permanente entre ambos procesos, defi-
niendo el concepto de prioridad e introduciendo las soluciones provisionales:
UNE-ISO/IEC 20000-1
Antecedentes
La gestin del incidente y la gestin del problema son procesos separados, aunque
ambos estn fuertemente relacionados.
540 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
La gestin del incidente y del problema mientras la gestin del problema tiene
son procesos distintos, aunque estn como misin la identificacin y la elimi-
estrechamente relacionados. El proceso nacin de las causas de los incidentes.
de gestin del incidente se encarga de la
restauracin del servicio a los usuarios,
La relacin entre ambos procesos es constante, pues la gestin del incidente genera
informacin que posteriormente analizar la gestin del problema en busca de
defectos en los servicios. As, en su actividad diaria de restaurar el servicio, la ges-
tin de incidente se encuentra frecuentemente con defectos en los servicios. Como
su funcin no es dedicarse a erradicarlos, los comunicar a la gestin del problema
para a su anlisis y resolucin. Por otra parte, la gestin del problema vuelca su
conocimiento y las soluciones encontradas en una base de datos, para que la ges-
tin del incidente los pueda aplicar en futuros incidentes similares.
UNE-ISO/IEC 20000-2
e) el tiempo transcurrido para pro- Nota: La prioridad se utiliza durante toda la ges-
porcionar un mtodo de resolu- tin del servicio pero es fundamental para la ges-
tin del incidente y del problema.
cin.
Esta misma clasificacin de impacto y urgencia se utiliza para ordenar por priori-
dad los cambios (vase tambin el apartado 9.2).
En cualquier caso, los criterios para definir el impacto y la urgencia deberan esta-
blecerse en coordinacin con los responsables del negocio y formalizarse en el SLA.
En la figura 8.1.2 se presentan los tipos de prioridad ms habituales y un rango
orientativo del tiempo de atencin asociado.
Tiempo
Prioridad Descripcin
atencin
Prioridad de un incidente
PRIORIDAD/ IMPACTO
Tiempo de resolucin
Alto Medio Bajo
Planificar /
Baja Medio / Bajo /
Cuando haya
o Bronce <2 h <6 h
hueco
si > SLA
Incidente grave Crisis
UNE-ISO/IEC 20000-2
Siempre que sea necesario, la gestin error deje de existir (por ejemplo, por-
del problema debera desarrollar y que el servicio ya no se utilice).
mantener soluciones provisionales para La gestin del problema debera tener
permitir a la gestin del incidente ayu- acceso a la informacin sobre las reas
dar a los usuarios o al personal a res- de negocio afectadas por los problemas.
taurar el servicio.
Se debera almacenar y mantener en la
Un error conocido slo se debera base de datos de conocimiento, la infor-
cerrar cuando se haya aplicado satis- macin sobre las soluciones provisiona-
factoriamente un cambio correctivo o el les, su aplicabilidad y su efectividad.
deber atender). Adems, hay que considerar que la tendencia es a que este volu-
men de contactos se vaya incrementando, debido al aumento de la diversidad de
dispositivos mviles y a la progresiva penetracin de las TI en la actividad de la
empresa. Por ello, es importante disponer de una organizacin perfectamente pre-
parada y entrenada para su atencin y resolucin.
Una buena gestin de los incidentes y las peticiones en la organizacin, reducir
enormemente las tensiones internas y permitir a la organizacin salir de la crisis
continua como nico medio de gestin y de trabajo. Adems, liberar a la direc-
cin de TI de llamadas y quejas inoportunas de los otros directores, permitiendo
que en la organizacin de TI cada uno realice su propio trabajo.
Por tanto, es un proceso que tiene dos flujos de trabajo (workflow) diferenciados y
amplios, que se deben afinar y optimizar. El primero de ellos es el ciclo de vida del
incidente y el otro el ciclo de vida de la peticin de servicio. Ambos comienzan en
el mismo punto, el centro de servicio al usuario (SD, Service Desk) que atiende los
contactos del usuario, bien sea a travs de llamadas telefnicas o, ms reciente-
mente, a travs de una aplicacin web. A partir de este momento, el flujo de ambos
procesos se separan para recorrer diversas partes de la organizacin de TI: el inci-
dente se trata por los niveles tcnicos especializados y las peticiones por la adminis-
tracin de los servicios.
Ya que estos dos flujos recorren gran parte de la organizacin, hay que transmitir a
todos los implicados los objetivos que se deben cumplir, para que TI acte como
un autntico equipo sincronizado. Los tres pilares en los que se sustenta este pro-
ceso se resumen en la figura 8.2.3.
Incidentes
Personal
tcnico
Incidentes
Problemas
identificados Conocimiento
tcnico
Peticiones de
Incidentes cambio (RFC) Errores
conocidos CMDB
Peticin de cambio (RFC, Request For Change). Medio para proponer un cam-
bio en cualquier componente de la infraestructura de TI o en cualquier aspecto de
un servicio de TI. La gestin del incidente genera las peticiones de cambio que
necesite para la resolucin rpida de los incidentes abiertos.
Fuente: Libros ITIL Soporte de Servicio y Operacin del Servicio publicados por OGC.
En ISO/IEC 20000-1 estn condensados los requisitos para la gestin del inci-
dente. En ella se especifica lo siguiente:
556 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Las tareas que habitualmente se realizan en la deteccin y registro son las siguientes:
Comprobar que la comunicacin del usuario o el ticket abierto automtica-
mente por la monitorizacin corresponde de verdad a un incidente.
Registrar los datos preliminares en la ficha o pantalla de registro de incidentes
(bien por el teleoperador del service desk o directamente por el usuario va web).
Si se trata de un incidente, verificar que no se ha registrado previamente, en
cuyo caso se asocia con el incidente existente. Si no existe, se graba como
incidente nuevo.
Si se trata de una peticin o solicitud de servicio o similar, se graba el regis-
tro con los datos requeridos para tramitarla.
Ficha de un incidente
Fuente: Libros ITIL Soporte de Servicio y Operacin del Servicio publicados por OGC, y Telefnica.
Clasificacin de un incidente
Categora Subcategora
Hardware Instalacin/Configuracin.
Rotura.
Factor humano.
Funcionalidad.
Software Inconsistencia/Corrupcin.
Rendimiento/Bloqueos.
Factor humano.
Causa ajena a TI Servicios internos.
Defecto de fabricacin hardware.
Bug software.
Red WAN.
Desconocido
Asignacin y escalado
Cuando la primera lnea no puede resolver el incidente, de forma inmediata lo
asigna al grupo tcnico que corresponda en la segunda lnea de soporte (escalado
horizontal). Si adems, el incidente cumple unos requisitos definidos, se informa
inmediatamente a los responsables superiores (escalado vertical).
El escalado tiene el objetivo de resolver el incidente lo antes posible, para no
incumplir los niveles de servicio acordados. Es una actividad que puede ser itera-
tiva y que puede pasar por diferentes grupos de soporte e incluso a suministradores
hasta que se restaure el servicio.
Hay dos tipos de escalado:
Escalado funcional (que equivale a enviar a otra lnea de soporte). Es la
remisin de un incidente a otro grupo de soporte tcnico o funcional para
que se contine trabajando en l cuando es necesario aumentar la especiali-
zacin necesaria. Tambin se le conoce como escalado horizontal. Se realiza
generalmente desde los grupos de soporte de la primera lnea a la segunda, o
de la segunda a la tercera. Es importante una buena tipificacin del incidente
para conseguir que ste llegue al grupo de soporte adecuado. Los motivos
para promover un escalado pueden ser:
El grupo que investiga la resolucin del incidente no cuenta con los
conocimientos o experiencia requeridos para resolver el incidente. En
este caso, la peticin partir probablemente del equipo encargado de la
resolucin.
El tiempo disponible para la resolucin del incidente pone en riesgo el
cumplimiento de los niveles de servicio acordados (SLA). En este caso,
el escalado puede ser tambin jerrquico.
UNE-ISO/IEC 20000-2
Siempre que sea posible, se debera cliente. Cuando la causa del problema
proporcionar al cliente los medios nece- siga sin determinarse pero se haya esta-
sarios para continuar con sus activida- blecido una solucin provisional, se
des empresariales, aunque sea con un deberan registrar los detalles para utili-
servicio degradado (por ejemplo inhabi- zarlos durante la diagnosis continua del
litando una funcin defectuosa). El problema y cuando se produzcan inci-
motivo es minimizar la repercusin dentes similares.
sobre las actividades empresariales del
Desgraciadamente, en la vida diaria las situaciones no son tan sencillas. Por ejemplo,
un fallo puede hacer que se haya corrompido una base de datos o que unos procesos
batch se hayan quedado a mitad y haya que reanudarlos y terminarlos, posiblemente
borrando datos incompletos y repitindolos desde el principio. Tambin puede suce-
der que sea necesario recurrir a las copias de seguridad y avisar a clientes de que se han
perdido las ltimas altas o facturas.
Estas situaciones complican a veces extraordinariamente la solucin de un incidente
y generan discusiones sobre si los SLA se estn cumpliendo o no. Por ejemplo, el
servicio se puede recuperar, pero reparar una base de datos corrupta puede llevar
das o semanas Se puede decir que el servicio se ha recuperado hasta que la base
de datos est limpia? Si ha fallado una cadena batch (programada en JCL), se puede
corregir y liberar una nueva versin, pero termina el incidente con esto, o no ter-
mina hasta que el trabajo se ha lanzado otra vez y ha finalizado correctamente? El
servicio no se puede restablecer al cien por cien hasta que el trabajo batch haya fina-
lizado, pero es posible que no se pueda lanzar hasta la noche siguiente, aunque el
error en la programacin en el JCL se haya corregido en minutos.
El equipo que solucion el incidente, deber actualizar el registro del incidente
cumplimentando los detalles propios de la resolucin e informacin complementa-
ria, como por ejemplo:
La fecha y hora de la resolucin del incidente.
El equipo que proporcion la solucin.
El detalle de la solucin.
El detalle de los procedimientos y elementos utilizados en la resolucin.
Los incidentes relacionados, si los hubiese.
UNE-ISO/IEC 20000-2
Reabrir el incidente
En caso de disconformidad del usuario con la resolucin del incidente no se podr
cerrar el incidente y volver a la actividad de asignacin, registrando en la informa-
cin del incidente que se ha reabierto.
566 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
En el caso habitual del cierre por defecto del incidente es muy importante tener
posibilidad de su reapertura para disponer de informacin estadstica sobre la cali-
dad en la resolucin. Se debe evitar la prctica de generar un nuevo ticket de inci-
dente, en lugar de reabrir el anterior.
En la reapertura, se registra en la base de datos de incidentes la causa de la reaper-
tura y la no conformidad del usuario.
Estados de un incidente
El estado de un incidente es un indicador del progreso realizado en su resolucin.
Marca las diversas etapas por las que puede pasar el ticket de un incidente hasta su
resolucin. El estado permite conocer al instante en que fase del flujo de resolucin
se encuentra. Adems, al marcar la evolucin en etapas, posibilita extraer ciertas
mtricas con el fin de evaluar el desempeo del proceso. En la figura 8.2.9 se mues-
tra un ejemplo de los posibles estados de un incidente.
Notificado.
Detectado.
Diagnosticado.
Reparado el fallo.
Recuperado el CI.
Restaurado servicio.
Cerrado.
Un cierto detalle en los estados del incidente permite identificar en que etapas hay
que actuar para mejorar el proceso.
UNE-ISO/IEC 20000-2
Nota 1: El proceso de gestin del incidente puede afecten, o que pudieran potencial-
ser proporcionado por un servicio de mente, afectar al servicio;
atencin al cliente, que acte como punto
b) un proceso centrado en la restaura-
de contacto diario con los usuarios.
cin del servicio a los clientes y no en
Nota 2: La gestin de incidentes debera ser: la determinacin de la causa de los
incidentes.
a) un proceso tanto proactivo como reac-
tivo, que responda a los incidentes que
La funcin del service desk dentro del proceso de gestin del incidente, lleva a cabo
una labor importantsima. Aparte de centralizar todas las gestiones de seguimiento
del ciclo de vida del incidente, gestiona todas las comunicaciones de TI con el usua-
rio, en ambos sentidos, tanto para atender las llamadas como para emitir comuni-
cados o contactar con el usuario.
Lo recomendable es apoyarse en la herramienta de gestin del incidente para la
comunicacin, que posibilita el acceso de los usuarios para consultar el estado de
sus incidentes y peticiones. Otro medio muy habitual es el correo electrnico y oca-
sionalmente debera ser el telfono.
UNE-ISO/IEC 20000-1
Se debe mantener informado al cliente del progreso del incidente sobre el que haya
informado o de su solicitud de servicio, y se le debe alertar por adelantado sobre si sus
niveles de servicio no se pueden satisfacer, acordando con l las acciones a tomar.
570 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
Se debe poner foco en que el service desk, como primera lnea de soporte, resuelva
el mayor nmero de incidentes y peticiones posibles; de esta forma, se reducir
la carga de trabajo de todo el resto de la organizacin de TI. Para ello, es necesa-
rio contar con perfiles ms cualificados que los tradicionales teleoperadores y
poner nfasis en una buena documentacin que contenga los procedimientos de
resolucin.
Dado el alto volumen de incidentes que se gestionan, es recomendable disponer
de una herramienta que, mediante reglas, realice el escalado funcional o jerrquico de
los incidentes de forma automtica y enve notificaciones a los gestores del proceso,
que les permitan reaccionar antes de rebasar los plazos del nivel de servicio pactado.
Esto libera a los supervisores del service desk de la ardua tarea de descubrir, en las
colas de trabajo, qu incidentes estn a punto de superar su SLA. El tiempo de
resolucin y las mtricas clave del proceso se mejoran sustancialmente en cuanto
se implanta esta automatizacin.
Los resultados de las encuestas de satisfaccin tambin mejoran cuando, mediante
otra automatizacin, se informa a cada usuario del estado de su incidente y de sus
ajustes, ofreciendo transparencia en la gestin.
Se recomienda que el service desk realice tambin el tratamiento de las quejas o recla-
maciones de los usuarios, como instrumento esencial para la mejora del servicio y
la atencin prestada. La recepcin de quejas aporta informacin importante de
mejora y sirve para restaurar la confianza del usuario en el servicio. Las quejas de los
usuarios se deben registrar y valorar. Tambin debe asegurarse de que se tomen
las acciones correctoras adecuadas. Toda queja debe tener una gestin asociada:
registro, seguimiento, informe al usuario y cierre.
En las Normas ISO/IEC 20000 en el nico lugar en el que explcitamente se tra-
tan las reclamaciones y quejas es en el proceso de gestin de las relaciones con el
negocio (vase el captulo 7). En ese proceso no se hace distincin explcita entre
8. Procesos de resolucin
8.2. Gestin del incidente 571
UNE-ISO/IEC 20000-1
Todo el personal implicado en la gestin del incidente debe tener acceso a informa-
cin relevante como, por ejemplo errores conocidos, resoluciones de problemas y la
base de datos de gestin de la configuracin.
UNE-ISO/IEC 20000-2
Incidentes graves
Hay organizaciones de TI que se gestionan en base a crisis, que acaban marcando
el ritmo de trabajo del da a da. No hay nada peor que una crisis para desbaratar la
productividad. Pero las crisis se producirn, por lo que se debe predefinir el com-
portamiento de la organizacin ante estos incidentes graves. Estas normas tratan el
tema de forma expresa.
576 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Los incidentes graves, as como, todos los incidentes con un impacto alto, se deben
notificar en tabln de anuncios web de TI, y adems, en la pantalla principal de la
herramienta de incidentes.
El objetivo que se pretende conseguir ante un incidente grave es su resolucin en
un tiempo rcord, minimizando el alto impacto que ocasiona. Tambin es necesa-
rio mantener un flujo de comunicacin constante entre las reas tcnicas resoluto-
rias y el comit de crisis, sin descuidar mantener puntualmente informadas a las
reas cliente afectadas.
Normalmente, este tipo de incidentes son de obligada y cuidada documentacin,
de la forma ms extensa y eficaz posible. Requieren un informe especial, aparte del
seguimiento extraordinario y especfico por parte de los gestores de nivel de servi-
cio, y de los gestores de los procesos implicados.
usuario, como utilizador de los servicios, y el rol del cliente o rea cliente, como
representante del negocio ante TI.
Como es lgico, los servicios que se pueden solicitar deben estar identificados el
catlogo de servicios de TI. Algunos ejemplos de peticiones de servicio son las
siguientes:
Solicitud de alta en un servicio del tipo aplicacin o solicitud de acceso a un
servicio existente.
Peticin de equipamiento. Solicitud de nuevos componentes (hardware o
software) relacionados con el puesto de trabajo.
Peticin de actuaciones en el puesto de trabajo. Configuracin del acceso
remoto UMTS, instalacin de actualizaciones de los controladores de dispo-
sitivo, etc.
Peticin de ejecucin de servicios planificados, como por ejemplo, la ejecu-
cin de cadenas batch.
Consultas funcionales o tcnicas, preguntas o dudas del usuario sobre un
tema del mbito de servicios de TI. Las preguntas pueden ser de ndole tc-
nico o funcional. Para la resolucin de consultas funcionales suele haber un
equipo funcional especfico, bien vinculado al rea de desarrollo, al rea de
relaciones con las unidades de negocio o bien al rea de negocio (en este caso
fuera de TI). En todos los casos, TI debe registrar y tramitar este tipo de
consultas.
Reclamaciones o quejas. El usuario manifiesta su disconformidad con un
servicio prestado.
Las entradas de las peticiones, al igual que los incidentes, se realizan a travs del
service desk, punto nico de contacto para el usuario.
Establecido que TI slo aceptar del usuario peticiones de servicio ya predefinidas
en el catlogo, la primera accin que se realizar es comprobar si la peticin est
entre los servicios que ofrece TI y que el usuario tiene permiso para realizarla.
Como ya hemos comentado, las soluciones de autorregistro y autorresolucin por
parte del usuario son esenciales para reducir la carga del soporte en TI. Automati-
zar al mximo la provisin, junto a una gestin eficiente y previsora de la capaci-
dad (nmero de licencias) y del stock (componentes) son elementos claves para
reducir los tiempos de entrega y aliviar la carga de trabajo rutinaria en TI. Permitir
al usuario conocer va web la evolucin de su peticin, facilita la comunicacin y
mejora la imagen de TI.
8. Procesos de resolucin
8.2. Gestin del incidente 579
Las peticiones de servicio que llegan al service desk recorren el mismo camino que
los incidentes en las dos primeras etapas (las actividades de deteccin y registro y
clasificacin y soporte inicial), pasando despus a un itinerario propio. Destacar
que algunas peticiones requerirn un itinerario de aprobacin jerrquica y del con-
trol presupuestario. En la figura 8.2.10 se muestra el ciclo de vida de una peticin
de servicio, segn la estructura propuesta en ITIL v3.
Figura 8.2.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
La medicin del ciclo de vida de una peticin se centra en ratios de agilidad, de efi-
ciencia y de satisfaccin del usuario. Los ms comunes son el volumen de peticiones
gestionadas, el volumen de peticiones segn su estado, desglose de las peticiones por
tipo (de servicio, consulta, etc.), el tamao de lista de peticiones de servicio pendien-
tes, el plazo medio de provisin por tipo de peticin, las peticiones de servicio ter-
minadas en plazo, el nmero de quejas y reclamaciones, el coste medio de provisin,
la satisfaccin del usuario con la gestin de peticiones de servicio, etc.
En la figura 8.2.13 se muestra el resumen de los indicadores ms relevantes para
este proceso seleccionados en ITIL v3 (en el libro Operacin del Servicio).
Fuente: Libro ITIL Operacin del Servicio publicado por OGC y e.p.
Gestor del service desk. Es el responsable del funcionamiento del personal que
forma el centro de servicio al usuario, incluidas las herramientas. Es otro de
los roles importantes del proceso. Sus principales responsabilidades son las
siguientes:
Supervisar la operativa diaria del service desk.
Vigilar el estado de los tickets o contactos abiertos.
Preparar los planes de formacin para el personal asignado.
Analizar la carga de trabajo de su personal, su nivel de conocimientos y
los costes laborales asociados.
Avisar y realizar el seguimiento de la prdida y degradacin de servicios.
Supervisar el progreso de los contactos, y en su caso tomar decisiones ante
dificultades en su resolucin.
Informar de las desviaciones e incumplimiento de los acuerdos de nivel de
servicio (SLA).
Realizar los informes necesarios, como por ejemplo, los informes puntua-
les de actividad a peticin, los informes del progreso del contacto y los
informes detallados de la actuacin del service desk.
Las que no puede resolver las escala a la siguiente lnea de soporte (escalado
funcional). Resuelve o escala los incidentes abiertos por las herramientas de
monitorizacin.
Especialista de soporte (lneas 2 y 3). Es el rol responsable de diagnosticar la
incidencia, resolverla, comprobarla, asignarla a otro grupo y documentarla.
Participa en la resolucin in situ de incidentes que no pueden resolverse
desde una ubicacin remota y en el tratamiento personalizado de las inciden-
cias de los usuarios de direccin. Est formado por grupos de especialistas
tcnicos en la gestin de la tecnologa, en la administracin de las aplicacio-
nes y sus datos, o en el desarrollo de software. Incluye a los grupos internos y
al soporte de fabricantes y terceros.
Administracin y soporte al proceso del incidente. Apoya al gestor del inci-
dente en sus responsabilidades. Vela por la implicacin de los equipos ante la
llegada de una incidencia crtica, asegurando que se cumplen los SLA. Coor-
dina los escalados entre grupos en caso de necesidad. Supervisa a los miem-
bros de las diferentes lneas de soporte. Participa en la resolucin de conflic-
tos internos.
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable de gestin de la configuracin, pues el acceso a la CMDB es
imprescindible para toda la actividad de la gestin del incidente.
El responsable de problemas facilita soluciones y errores conocidos para la
resolucin de nuevos incidentes.
El responsable de la gestin del servicio vela por que todos los servicios cum-
plan los niveles pactados.
El responsable de gestin de la entrega. Su proceso debe proporcionar for-
macin al service desk y a las otras lneas de soporte sobre los nuevos servicios
o evolucin de los existentes.
El responsable de la gestin del cambio debe proporcionar informacin de
todos los cambios en los componentes (CI).
El propietario del modelo de gestin de TI (SGSTI) acta como propietario
del proceso (process owner), define las actividades del proceso y se encarga de
la mejora continua del mismo. Todo ello, de una forma integrada con el
modelo de gestin de TI o SGSTI.
Los roles de mayor relevancia que participan en el proceso de gestin del cambio
se representan en la figura 8.2.14.
586 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
SGSTI
Propietario del
modelo (SGSTI)
Gestor de la
configuracin Especialista de Especialista de Especialista de
Gestor del service desk lnea 2 lnea 3
problema (proveedor TI) (fabricante)
Resumen
ISO/IEC 20000 e ITIL v2 tratan en un mismo proceso los dos ciclos de la gestin
del incidente y la gestin de la peticin del usuario, porque ambos ciclos tiene una
parte comn (el service desk) y con frecuencia se ve involucrado el mismo personal
tcnico en su tratamiento. En cambio, en ITIL v3 se ha decidido separar estos
ciclos en dos procesos diferenciados, pues el primero debe restaurar cuanto antes el
servicio para que el negocio pueda seguir trabajando aportando productividad,
mientras que la gestin de peticiones atiende nuevas necesidades predefinidas al
usuario y otorga agilidad al negocio.
La gestin del incidente es un proceso esencial para apagar los fuegos que se
produzcan en TI y minimizar el impacto en el negocio de los fallos y cadas de los
servicios.
8. Procesos de resolucin
8.2. Gestin del incidente 587
Beneficios
Algunos de los beneficios de alcanzar una correcta gestin el incidente son los
siguientes:
Resolucin ms rpida de los incidentes y reduccin del impacto en el nego-
cio de los fallos. Se produce una mejora de la disponibilidad.
El proceso pone foco en la restauracin del servicio, como eje fundamental.
Mejor alineacin de TI con las necesidades en el da a da del negocio.
Mejor atencin a los usuarios.
Tratamiento eficiente del alto volumen de actividad requerido. Implementa-
cin de herramientas de autoatencin por parte de los usuarios.
Mayor nmero de incidentes resueltos en primera lnea, con lo que se alivia
la carga de trabajo de las lneas de soporte ms especializadas.
Estar preparado ante las crisis.
588 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Describa las etapas de la gestin del incidente en su organizacin.
Qu mejorara para que la resolucin de incidentes fuera ms efi-
ciente?
Describa el ciclo de gestin de peticiones en su organizacin.
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
8. Procesos de resolucin
8.3. Gestin del problema 589
Los principales beneficios que aporta la gestin del problema son los siguientes:
Reduce el nmero de incidentes y, por tanto, mejora la calidad de los servi-
cios.
Estabiliza los servicios en produccin regular para mantener el transcurrir
normal del negocio.
En su trabajo, encuentra soluciones provisionales y permanentes a los defec-
tos de los servicios.
Asegura la resolucin de defectos graves que afectan al servicio.
Identifica la causa raz de los incidentes, evitando incidentes repetitivos.
Propone proyectos de mejora para resolver los problemas.
Realiza el seguimiento de los problemas identificados.
Incrementa el conocimiento de la organizacin, proporcionando:
La identificacin de tendencias en los datos histricos.
Los medios para prevenir fallos y para reducir el impacto de los fallos en
el negocio.
Los errores conocidos, soluciones provisionales y soluciones permanentes
a la base de datos del conocimiento.
La mejora del ratio de resoluciones de incidentes en el primer contacto o
en la primera lnea de atencin por el service desk.
Para el xito del proceso es necesario desplegar tres disciplinas bsicas: un buen
conocimiento tcnico, una vocacin por la calidad tcnica y el seguimiento de los
temas hasta que los defectos queden completamente eliminados. En la figura 8.3.3
se muestran estas disciplinas esenciales del proceso.
Tarde o temprano, los defectos latentes acaban saliendo a la luz, generando inci-
dentes en los servicios. En este momento aparece la necesidad de disponer de espe-
cialistas con un buen conocimiento tcnico para realizar la investigacin a fondo
hasta identificar el defecto y buscar una solucin.
El proceso tambin requiere perseverancia para el seguimiento de todos los temas
hasta su finalizacin, pues con frecuencia, ser necesaria la participacin de muchas
reas tcnicas: unas veces habr que revisar todo un desarrollo, otras los equipos de
comunicaciones, en ocasiones habr que reemplazar un equipamiento o actualizar
al ltimo parche el software base. Por tanto, el proceso debe controlar mltiples acti-
vidades de resolucin de los problemas que transcurrirn en paralelo, actuando
592 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Problema
Service desk Solucin provisional
Gestin incidente Causa raz (workaround)
Gestin disponibilidad CONTROL DE Error
Gestin capacidad PROBLEMAS
Solucin
Gestin nivel de servicio
Ticket de Error permanente
reas tcnicas
problema conocido
Seguridad (KE)
Desarrollo
Solicitud de
cambio (RFC)
CONTROL DE
PREVENCIN ERRORES
PROACTIVA DE
PROBLEMAS Problema PIR
resuelto Resolucin
del error
CMDB BD de problemas
Conocimiento
BD incidentes Base datos Fichas de Errores tcnico
configuracin problemas conocidos
Fuente: e.p., libro ITIL Soporte de Servicio publicado por OGC y Telefnica.
Las salidas principales del proceso de gestin del problema son los problemas
resueltos y la base de datos de problemas, que contiene los errores conocidos con
sus soluciones provisionales y permanentes. La informacin sobre los errores cono-
cidos es una fuente importante de conocimiento, a veces se considera una base de
datos independiente de los errores conocidos, y es esencial para que el proceso
de gestin del incidente diagnostique y resuelva con rapidez. Tambin es una salida
principal las peticiones de cambio (RFC) generadas para la construccin e imple-
mentacin de las soluciones (provisionales o permanentes) encontradas.
Otras salidas de ndole secundario son la notificacin sobre la evolucin o resolucin
del problema a quin gener el ticket del problema; la base de datos de incidentes
actualizada con las causas races identificadas, con las soluciones provisionales o
598 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
La gestin del incidente y la gestin del problema tienen dos objetivos claramente
diferenciados. Mientras el primero debe recuperar el servicio lo antes posible, el
segundo se ocupa de que ese tipo de incidente no se reproduzca.
Tambin en los mtodos de ejecucin actan de forma diferente. Mientras la gestin
del incidente trabaja en una carrera contrarreloj para lograr obtener la recuperacin
del servicio en tiempo rcord; la gestin del problema trabaja, normalmente a medio
plazo, para erradicar la causa raz con independencia del cierre o no del incidente.
La gestin del problema requiere un esfuerzo nada despreciable, tanto econmico,
como de apoyo de la direccin, ya que el equipo de resolucin de problemas, a
menudo experto en la tecnologa afectada, debe liberarse del da a da. As, se nece-
sita el soporte de la direccin para la dedicacin de estos recursos y mantenerlos,
aunque en ocasiones los plazos de resolucin se prolonguen.
Tambin, el proceso debe velar por que el ratio coste (de investigacin y de resolu-
cin) frente al beneficio (por la eliminacin de los incidentes) sea ptimo.
A la hora de iniciar la implementacin del proceso se recomienda poner primero
foco en resolver los problemas que se produzcan en los servicios vitales para el
negocio, para ir extendiendo paulatinamente su cobertura al resto de servicios
menos crticos. En etapas posteriores se incorporarn las actividades proactivas,
para identificar los problemas latentes antes de que generen incidentes.
8. Procesos de resolucin
8.3. Gestin del problema 599
Por otra parte, la eficacia de este proceso slo podr obtenerse, tras disponer de un pro-
ceso de gestin del incidente suficientemente maduro, que registre toda la informacin
necesaria (clasificacin, sntomas, resolucin, etc.) para poder actuar a posteriori.
Tambin es conveniente disponer de buenos sistemas de monitorizacin tecnol-
gica, correlacin de eventos y anlisis de estadsticas.
Control de problemas
La etapa de control de problemas es la primera que se activa cuando se detecta un
problema, se inicia con la recepcin del ticket del problema y concluye con la iden-
tificacin de la causa raz del mismo. El ticket entra en estado de problema y sale en
estado de error.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Se deberan clasificar los incidentes Nota: Cuando se registren incidentes por primera
para ayudar a determinar las causas de vez, su categorizacin se ver influenciada
por otros factores que incluyen el servicio,
los problemas. La clasificacin puede
el rea de negocio afectada y los sntomas
hacer referencia a los problemas y cam- que se presenten.
bios existentes.
Al igual que en los incidentes, todo problema debe estar previamente registrado. Si
este proviene de un incidente, se deben establecer referencias cruzadas entre ambos.
Las actividades comprendidas en la etapa de control de problemas son:
Identificacin y registro de problemas. La identificacin de los problemas proviene
de distintas fuentes de la organizacin de TI, ya sea de forma reactiva o proactiva:
Del service desk y de la gestin de incidentes.
De problemas propuestos a partir del anlisis de eventos de las herramientas
de monitorizacin de la infraestructura desde la gestin de eventos.
De problemas asociados a los servicios detectados en la gestin de nivel de
servicio.
8. Procesos de resolucin
8.3. Gestin del problema 601
3 Nmero de ticket.
3 Persona que abri el problema.
3 Fechas: apertura, actualizaciones, cierre.
3 Estado del problema.
3 Datos descriptivos del problema:
Descripcin.
Detalles.
CI implicados. Servicio o aplicacin.
Categora.
Prioridad (impacto+urgencia). Esto ayudar a
Incidentes asociados. tener documentado
el problema ms
3 Historial del problema: escalados, participantes,
detalladamente y
descripcin de las investigaciones realizadas, etc.
dar pistas a posibles
3 Datos descriptivos de la resolucin: investigaciones para
Descripcin de la solucin provisional. solucionar otros
Descripcin de la solucin definitiva. problemas.
RFC generados, sus fechas y sus estados.
Fecha de cierre.
3 Revisin del problema
Esfuerzo y costes necesarios para la resolucin.
Beneficio aportado.
Una buena clasificacin de los incidentes es esencial para extraer informacin pre-
cisa para la identificacin de problemas.
Por otra parte, las soluciones generadas por incidentes se deberan almacenar tam-
bin en la base de datos de problemas, para que el conocimiento se centralice en un
nico punto.
Clasificacin de problemas. Al igual que los incidentes y los cambios, los proble-
mas deben tener tambin asignada una categora y una prioridad (en funcin del
impacto y urgencia) para poder planificar los recursos adecuadamente.
Es importante que la asignacin de una categora a los problemas sea precisa y bien
realizada, para poder asignar el problema a los equipos de soporte adecuados y,
para una vez resuelto, poder acceder con precisin al conocimiento. La clasifica-
cin de un problema se va depurando segn avanza la investigacin sobre el
mismo.
Con relacin a la prioridad, se necesita que se asigne una a cada problema y aun-
que el volumen de problemas puede ser bajo, el nmero de recursos asignados a la
gestin de los problemas tambin suele ser escaso, por lo que disponer de un orden
de ejecucin resulta nuevamente fundamental. En la definicin del impacto se
estima la criticidad de los servicios que se veran afectados si el problema provocase
un incidente, el nmero de servicios, el volumen de usuarios amenazados, etc. La
urgencia se determina en funcin de la probabilidad de que se puedan producir
incidentes.
Los problemas tienen tambin un estado segn avanzan en su ciclo de vida, para
tener un mayor control del proceso y poder realizar anlisis estadsticos posteriores.
En la figura 8.3.8 se muestra un ejemplo de algunos detalles relevantes del proceso.
Investigacin y diagnstico de problemas. Los problemas se gestionan de forma
centralizada por el proceso, pero en su investigacin y resolucin se asignan a los
especialistas de TI, denominados analistas tcnicos (propietarios de los elementos
de configuracin involucrados en el problema, tcnicos de las reas afectadas,
equipo de desarrollo, responsables del servicio afectado, etc.). En la investigacin,
con frecuencia se necesita tambin la participacin de los fabricantes.
El analista tcnico de problemas asignado realiza la investigacin y diagnstico con
los medios a su alcance para identificar la causa raz del problema. Si a lo largo de
esta actividad surgen conflictos por la necesidad de dedicacin de recursos, se lo
comunicar al responsable del proceso, de modo que ste pueda tomar las acciones
correctoras necesarias.
Tradicionalmente en este punto de la investigacin se describen varias tcnicas
genricas que ayudan al anlisis en las tareas de investigacin y diagnstico.
8. Procesos de resolucin
8.3. Gestin del problema 603
Solucionado
Cerrado
Prioridad de un problema
IMPACTO
PRIORIDAD
Alto Medio Bajo
Se
Alta rvi
cio
sv
ita
URGENCIA
Pro les
bab , vo
ilid lum
Media ad en
de de
pro usu
duc ari
ir i os,
nci etc
Baja den .
tes
Control de errores
El control de errores se encarga de subsanar los errores y eliminar las causas races
que los provocan. Realiza el seguimiento de todos los errores conocidos, desde su
identificacin hasta su resolucin.
UNE-ISO/IEC 20000-2
Las Normas ISO/IEC 20000 ponen foco en la responsabilidad de gestin del pro-
blema como generador y difusor del conocimiento sobre los errores conocidos. Los
errores conocidos se almacenan en una base de datos, tpicamente como un sub-
conjunto integrado en la base de datos de gestin del problema, y se ponen a dis-
posicin de otros procesos en modo de slo lectura. Por otra parte, la gestin del
incidente mantiene la base de datos de incidentes en la que se registra todo lo que
se analiza e identifica en la resolucin del incidente. Por tanto, las bases de datos de
problemas y de incidentes son complementarias.
Adems, los instrumentos, ms utilizados en la resolucin de incidentes son el
rbol de tipologas de incidentes, la base de datos de incidentes, con la resolucin
de incidentes similares, y la base de datos de problemas, en su vista de los errores
conocidos.
Por ello, la coordinacin aqu es muy importante ya que se debe aportar coherencia
y consistencia a las clasificaciones de cada elemento. Muchas veces, aparecen rbo-
les de tipologas (propiedad del proceso de incidentes), que simulan la lista de erro-
res conocidos (propiedad de gestin del problema), que se solapan y confunden al
tcnico de soporte de primer nivel.
Identificacin y registro de errores. En el proceso los errores se tratan como una
estructura de informacin especfica, por ello, la primera actividad de la etapa de
control de errores es la identificacin y el registro de los mismos.
Valoracin de errores. En esta actividad se realiza una evaluacin de los recursos y
plazos necesarios para las alternativas de solucin. En la evaluacin se contrasta el
606 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
Se deben remitir al proceso de gestin del cambio los cambios necesarios para
corregir la causa subyacente de problemas.
UNE-ISO/IEC 20000-2
Cuando la causa raz se haya identifi- debera conducir a travs del proceso
cado y se haya tomado una decisin de gestin del cambio.
para resolver el error, la resolucin se
8. Procesos de resolucin
8.3. Gestin del problema 607
UNE-ISO/IEC 20000-2
Comunicacin y conocimiento
Las Normas ISO/IEC 20000 recomiendan que se comunique a las partes interesa-
das las soluciones provisionales, permanentes y el progreso de la resolucin del pro-
blema. Pero la faceta de comunicacin del proceso va ms all, proporcionando una
base de conocimiento de errores conocidos muy importante a la organizacin en
general y especialmente a la gestin del incidente. Adems, presenta informes a la
direccin y a otros procesos sobre la evolucin de su actividad, y especialmente al
centro de servicio al usuario.
UNE-ISO/IEC 20000-1
Para que resulte eficaz la resolucin de problemas, se debe supervisar, revisar y ela-
borar informes sobre ella.
8. Procesos de resolucin
8.3. Gestin del problema 609
El equipo de gestin del problema debe ser responsable de garantizar que est dis-
ponible, para la gestin de incidentes, la informacin actualizada sobre errores
conocidos y problemas corregidos.
UNE-ISO/IEC 20000-2
Es una buena prctica poner a disposicin libre de todo el personal tcnico todas las
soluciones de errores, tendencias, previsiones y el resto de conocimiento que desde
gestin del problema se genere. Y tambin lo es, aprovechar el feedback que, ante
dicho conocimiento, propongan los colaboradores de los equipos de soporte tcnico.
UNE-ISO/IEC 20000-2
Durante el ciclo de vida del problema, se debe registrar informacin para poder
realizar el seguimiento y escalado. A veces no es sencillo descubrir al inicio del
registro del problema todos los actores que van a acabar trabajando en l. Por esto
se debe alimentar constantemente el registro del caso, con todos los implicados y
sus aportaciones. Como en un anlisis forense, cualquier prueba que sea subesti-
mada en una parte del proceso puede ser vital para el esclarecimiento del caso. En
un problema pasa lo mismo; todos los elementos son vitales para la determinacin
de la causa raz.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
En ISO/IEC 20000-2 se detallan los temas que se deben tratar en las revisiones de
los problemas importantes.
8. Procesos de resolucin
8.3. Gestin del problema 611
UNE-ISO/IEC 20000-2
Todas las acciones de mejora identificadas a lo largo del proceso de gestin del pro-
blema, tanto tcnicas (causas raz detectadas) como organizacionales, constituye
informacin importante para aportar al plan de mejora del servicio (SIP, vase el
apartado 6.1) o al plan de mejora unificado de los procesos y de los servicios (vase
el captulo 4).
UNE-ISO/IEC 20000-1
Se deben llevar a cabo acciones preventivas para reducir los problemas potenciales,
por ejemplo las derivadas de anlisis de tendencias de volmenes y tipos de incidentes.
612 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-2
En ITIL se establece que las actividades principales de los procesos de gestin pro-
activa de problemas son el anlisis de tendencias y la identificacin de acciones pre-
ventivas.
Anlisis de tendencias. El objetivo es identificar componentes frgiles en la
infraestructura de TI e investigar las razones de esta fragilidad. As, los informes
sobre el anlisis de incidentes y problemas proporcionan informacin sobre medi-
das proactivas. El anlisis de tendencias puede llevar a la identificacin de defectos
en la infraestructura de TI y tambin puede llevar a identificar reas que necesita-
rn ms atencin del rea de soporte.
Identificacin de acciones preventivas. Como consecuencia de la actividad ante-
rior se identifican acciones preventivas que de deben implementar e integrar en el
plan de mejora del servicio (SIP) o en el plan de mejora unificado de los procesos y
de los servicios. Debera ser posible establecer comparaciones significativas expre-
sndolas en trminos de costes financieros para la organizacin.
8. Procesos de resolucin
8.3. Gestin del problema 613
Los resultados esperados por una buena gestin del problema se pueden apreciar a
travs de:
La reduccin de la cantidad de incidentes, al eliminar la causa raz que los
provoca y, por tanto, evitar su recurrencia.
La reduccin de tiempo para la reparacin de un incidente (MTTR), debido
a la base de conocimiento que se va generando, junto con un incremento de
la tasa de resolucin de incidentes en primer nivel.
La reduccin de los tiempos necesarios para la resolucin de los problemas.
La disminucin de los costes asociados a la resolucin.
Figura 8.3.9. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
tengan que intervenir primero para restaurar el servicio y posteriormente para eli-
minar la causa raz, participando as en los dos procesos asumiendo diferentes roles.
Esta situacin puede implicar un conflicto de intereses entre la dedicacin a la res-
tauracin del servicio y la dedicacin a la eliminacin de los defectos. Se debe dife-
renciar claramente entre la actuacin del personal tcnico bajo la resolucin de pro-
blemas y en caso de incidentes.
Los participantes en este proceso deben tener una cualificacin tcnica muy alta,
involucrando a los especialistas, internos o externos, que se necesiten.
Como en el resto de los procesos, los roles que intervienen en el proceso se estruc-
turan en los roles propios del proceso y los roles ajenos al proceso (el gestor del
nivel de servicio).
Los roles propios del proceso son los siguientes:
El gestor de problemas (gestor del proceso o process manager). Es el respon-
sable de la operacin diaria del proceso de gestin de problemas, velando
por la implicacin de los equipos ante la definicin de un problema, asegu-
rando que se cumplen los SLA, y coordinando los escalados entre grupos en
caso de necesidad.
Lder de equipo de gestin del problema. Es el responsable de liderar de
forma eficaz y eficiente al equipo de trabajo encargado de la resolucin
de un problema
Analista tcnico de problemas. Es el rol encargado de llevar a cabo la investi-
gacin, diagnstico y resolucin de problemas. En este rol participan los tc-
nicos especialistas de todo tipo, de desarrollo, tcnico de sistemas, del hard-
ware, etc., que participan en las actividades de investigacin y diagnstico
del problema y en la resolucin de errores.
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable del centro de servicio al usuario, por la estrecha relacin entre
el soporte en la primera lnea de incidentes y la gestin del problema.
El responsable de desarrollo y el responsable de infraestructuras o de tecno-
loga, pues deben proveer tcnicos especialistas en las disciplinas que se nece-
siten para identificar y resolver los problemas.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
616 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
continua del mismo. Todo ello, de una forma integrada con el modelo de
gestin del proveedor de TI incorporado en el SGSTI.
Los roles de mayor relevancia que participan en el proceso de gestin del problema
se representan en el grfico de la figura 8.3.10.
Responsable de la
gestin del servicio
SGSTI
Administrador y
Gestor de soporte del proceso
problemas
Propietario del
modelo (SGSTI)
Resumen
La misin del proceso de gestin del problema es evitar que se produzcan inciden-
tes repetitivos o nuevos. Este proceso es uno de los ms eficaces y que mejores
resultados proporciona, pues va buscando y subsanando defectos en los servicios
para hacerlos ms estables.
8. Procesos de resolucin
8.3. Gestin del problema 617
Beneficios
Entre las ventajas de adoptar un enfoque formal de gestin del problema se inclu-
yen las siguientes:
Mejora de la calidad de los servicios de TI. La gestin del problema ayuda a
generar un ciclo en el que la calidad de los servicios de TI se incrementa rpi-
damente.
Reduccin del volumen de incidentes. La gestin del problema contribuye a
reducir el nmero de incidentes que interrumpen el curso normal del negocio.
Aporte de soluciones permanentes. Se produce una reduccin gradual del
nmero e impacto de problemas y errores, ya que las soluciones son perma-
nentes y no parches provisionales.
Incremento del conocimiento de la organizacin. El proceso de gestin del
problema genera la base de errores conocidos que permite reutilizar las expe-
riencias previas.
Mejora del ratio de resoluciones en la primera lnea de soporte. El conoci-
miento generado sobre la resolucin de errores permite resolver mayor
nmero de incidentes en la primera lnea.
618 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Describa un problema relevante que haya ocurrido en su organizacin, y
sobre l:
Realice un esquema Ishikawa (raspa de pez) con los errores ms fre-
cuentes para un servicio crtico, agrupados segn esta metodologa de
anlisis de causa-raz.
En el caso, describa qu se hizo mal, qu se hizo bien y que cambia-
ra en su organizacin.
1 Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
9 Captulo 9
Procesos
de control
Tener todo bajo control es el primer deseo de los responsables de TI. Los siste-
mas de informacin, cada vez ms importantes para la empresa, deben evolucio-
nar de una forma controlada. La industria ha consensuado dos procesos cuyo
nfasis se centra en este deseado control de TI y de sus servicios: el proceso de la
gestin de la configuracin y el proceso de la gestin del cambio. El primero con-
trola la informacin sobre los elementos considerados clave para la gestin de los
servicios de TI, y el segundo, que no se cambie nada sin seguir las reglas preesta-
blecidas.
Se puede considerar que la gestin de la configuracin supone para TI lo que la
imprenta para la Humanidad: una forma industrializada de tratamiento con rigor
del conocimiento comn. Efectivamente, los servicios de TI cada vez ms crti-
cos no se pueden gestionar mediante acciones voluntaristas de algunos profesio-
nales de TI, la informacin y el conocimiento de TI debe ser tratado con rigor
bajo una estricta poltica definida en la empresa. Slo de esta forma se podr
garantizar que las decisiones se toman con la informacin precisa y fidedigna.
Al avanzar en el presente captulo se apreciar cmo el proceso de gestin de la
configuracin articula las polticas y mecanismos que hacen posible que la informa-
cin que se necesite para la gestin de TI est disponible y con la calidad y fiabili-
dad deseadas.
Por otra parte, el mayor porcentaje de incidentes y fallos en los servicios de TI pro-
vienen de errores o defectos introducidos al cambiar. Pero los cambios son necesa-
rios para mantener los servicios alineados con la evolucin del negocio y de la tec-
nologa.
El proceso de la gestin del cambio introduce una serie de mejores prcticas que
ayudan a que la necesaria actividad de realizar modificaciones se realice de la forma
ms segura y controlada posible.
Las prcticas ms importantes que se aprendern es este captulo son las siguientes:
Cmo disear y gestionar la base de datos de la gestin de la configuracin.
Cmo articular la informacin comn para que sea til.
Los dos roles para garantizar el control: el gestor de la configuracin y el
gestor del cambio.
Cmo pone orden un simple formulario, la peticin de cambio.
A definir y articular el comit de control de cambios, que posibilita la
coordinacin de todos los recursos humanos que estn involucrados en un
cambio.
622 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Los tres pilares en los que se sustenta este proceso se resumen en el esquema de la
figura 9.1.3.
Servicios
Documentacin
SLAs
CI CI CI CI
Gestor de la CI CI
configuracin CI CMDB
CI HW
CI CI CI CI CI
SW
Base de datos de gestin
de la configuracin Elementos de configuracin
(CMDB) (CI)
Biblioteca de continuidad y
disponibilidad
6.2 Generacin de
informes del servicio
6.4 Elaboracin de
presupuesto y contabilidad
software definitivo
del servicio de los servicios de TI
9. Procesos de control
9.1 Gestin de la configuracin
10. Proceso 9.2 Gestin del cambio 7. Procesos
de entrega de relaciones
10.1 Proceso de gestin 8. Procesos 7.2 Gestin de las
de la entrega de resolucin relaciones con el negocio
8.2 Gestin del incidente 7.3 Gestin de
8.3 Gestin del problema suministradores
los procesos. De toda esta informacin gestionada por los procesos y reas, slo se
alojar en la CMDB la que se haya decidido que compartirla aporta valor. No obs-
tante, es necesaria una buena integracin entre las herramientas, de tal forma que
desde la CMDB se pueda consultar los registros asociados a un CI que existan en las
herramientas de soporte especfico de otros procesos (incidente, capacidad, etc.).
La CMDB est formada por:
Fichas con la informacin detallada de cada elemento de configuracin, pero
no suele albergar el elemento de configuracin en s mismo. Slo en los
casos en que los elementos de configuracin son documentos electrnicos
(SLA, contratos, etc.), se podrn incluir el CI de forma completa en la CMDB.
Los archivos fuentes y los ejecutables de los programas no se suelen incluir
en la CMDB.
Relaciones entre los diferentes elementos de configuracin.
Las relaciones nos permiten obtener todos los CI que participan en un servicio
determinado.
Con las relaciones se construyen estructuras de configuracin o esquemas de rela-
cin, que tienen por eje central el CI que interese conocer en un momento deter-
minado. Forman, por tanto, el rbol en el que se estructuran las categoras de los
elementos de configuracin. As, los esquemas de relacin ms habituales son
los siguientes:
Esquema de relacin de un servicio, que muestra todos los componentes que
participan en ese servicio.
Esquema de relacin de un servidor, para conocer todo lo instalado en l y
en que servicios est soportando.
Esquema de relacin de red, muestra los componentes de una red.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin 631
Identificacin de
la configuracin Control de configuracin
(estructura, alcance y detalle)
(registrar y actualizar)
Modificaciones
a los CI
Planificacin e implementacin
de la gestin de la
configuracin Otros procesos
5. Planificacin e implementacin de nuevos servicios o de servicios modificados
CI CI CI CI disponibilidad
del servicio
informes del servicio
9. Procesos de control
9.1 Gestin de la configuracin
presupuesto y contabilidad
de los servicios de TI
CI CI de entrega
8. Procesos
de relaciones
CMDB
10.1 Proceso de gestin 7.2 Gestin de las
de la entrega de resolucin relaciones con el negocio
CI CI
8.2 Gestin del incidente 7.3 Gestin de
8.3 Gestin del problema suministradores
Verificacin y CI CI CI CI CI
auditora de la
configuracin
DSL
PDCA Supervisin y Seguimiento del estado de
SGSTI mejora del proceso la configuracin e informes
(informar)
Fuente: HP y e.p.
UNE-ISO/IEC 20000-1
Debe existir una visin integrada para la planificacin de la gestin del cambio y de
la configuracin.
El proveedor del servicio debe definir la interfaz con los procesos de contabilidad
financiera de activos.
Nota: La contabilidad financiera de los activos queda fuera del mbito de esta seccin.
Debe existir una poltica que defina qu se considera como elemento de configura-
cin y qu componentes lo constituyen.
Deben estar controladas, en una biblioteca fsica o electrnica segura, las copias
maestras de los elementos de configuracin digitales, con referencias a los registros
de configuracin, por ejemplo software, productos de prueba, documentos de
soporte.
Todos los elementos de configuracin deben ser identificables de manera nica y
registrados en la base de datos de gestin de la configuracin, cuyo acceso para
CMDB
9. Procesos de control
9.1. Gestin de la configuracin 635
UNE-ISO/IEC 20000-2
Propsito.
Objetivo.
Alcance.
Polticas y procedimientos.
Estrategia de implantacin.
Planificacin de actividades:
Diseo de la CMDB.
Diseo de la DSL.
Organizacin.
Herramientas de soporte.
Anlisis de la informacin disponible y sus
fuentes.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
CI tipo servidor
Fuente: Telefnica.
Hay muchas alternativas y para gustos no hay nada escrito. Lo ms sencillo es esta-
blecer una clave con un nmero secuencial precedido de un acrnimo de categora
o clasificacin dentro de la CMDB, en el mximo nivel de abstraccin posible. Por
ejemplo HW001001 (correspondiente a la categora hardware). Otros prefieren
incorporar alguna caracterstica del CI a la clave para hacerla ms inteligible, pero
esta caracterstica debera ser constante durante la vida del CI, por ejemplo
HWSER001001 (correspondiente a un servidor en la categora HW).
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
Diseo de la DSL
Gestor de la
configuracin
Ficha CI CI CI CI
del CI CI CI
CICMDB CI
Diseo de la DSL: software CI CI CI CI CI
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Las auditoras fsicas y peridicas, tambin deben alimentar los registros de opor-
tunidades de mejora, y arrancar las consiguientes acciones correctivas.
La deteccin de inconsistencias debe llevar aparejada una concienciacin de todos
los implicados sobre la importancia y gravedad (impacto) que puede representar
una inexactitud en la informacin recogida. As, no slo se favorece la mejora con-
tinua, sino que adems, se garantiza la solvencia de la CMDB y la DSL, hacindo-
las cada vez ms robustas y fiables.
Figura 9.1.12. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
Los roles ajenos que son relevantes en este proceso son los siguientes.
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
continua del mismo. Todo ello de una forma integrada con el modelo de ges-
tin del proveedor de TI incorporado en el SGSTI.
El responsable de la gestin del cambio debe proporcionar informacin
de todos los cambios en los CI a los que se ha asignado el control de uno
o varios elementos de configuracin. Ser un miembro de la organiza-
cin de TI especializado en un mbito tecnolgico, y con el conoci-
miento requerido para identificar y mantener los CI que estn bajo su
rea de control.
Resumen
Sin una buena informacin de la configuracin es imposible alcanzar una eficiencia
y madurez en la gestin de las TI. Una informacin fidedigna y completa sobre la
infraestructura de TI, sus servicios y la organizacin que los presta, son los cimien-
tos para reducir los incidentes, ser giles en la provisin de peticiones, evitar erro-
res en los cambios, etc.
De una forma paulatina pero constante, en la implementacin de la gestin del
servicio hay que dedicar esfuerzos importantes a aglutinar y organizar la informa-
cin sobre la configuracin de TI. Por ello, es uno de los primeros procesos que
CMDB
9. Procesos de control
9.1. Gestin de la configuracin 657
Responsable de la
gestin del servicio
Gestor de la
SGSTI configuracin
Administrador de
la CMDB y DSL
Propietario del
modelo (SGSTI)
Administrador y
soporte del proceso
de configuracin
Titulares de elementos
de configuracin
Gestor del cambio
Beneficios
Algunos de los beneficios de alcanzar una correcta gestin de la configuracin son
los siguientes:
Resolucin ms rpida de los incidentes y los problemas, que redunda en
una mayor calidad de servicio. Una fuente habitual de problemas es la
incompatibilidad entre diferentes CI (por ejemplo, drivers desactualizados,
etc.). La deteccin de estos errores sin una CMDB actualizada alarga consi-
derablemente el ciclo de vida de un incidente o de un problema.
Disponer de los fuentes precisos y actualizados cuando empieza un pro-
yecto de evolucin, as como, tener un correcto control de los mdulos
que cada equipo de desarrollo est modificando resulta esencial para aho-
rrar esfuerzos intiles y que varios equipos trabajen sobre software desac-
tualizado.
De la misma forma, no tiene precio la eficacia y seguridad que le otorga a un
equipo de desarrollo que comienza un proyecto, el conocer con precisin la
configuracin real del entrono de produccin en donde se explotar el apli-
cativo.
Una gestin del cambio ms eficiente. Es imprescindible para conocer la
estructura previa, analizar el impacto y disear un cambio que no genere
nuevas incompatibilidades o incidentes.
Reduccin de costes. El conocimiento detallado de todos los elementos de
configuracin permite, por ejemplo, eliminar duplicidades innecesarias y
ahorrar tiempo en repetidas bsquedas de informacin.
Control de licencias. Al contrario de lo que pasaba antao, que el control
de licencias acarreaba el descubrimiento de software ilegal, hoy da tener un
buen control de las licencias puede traer importantes ahorros en costes,
por licencias no utilizadas, por mantenimientos innecesarios, por duplici-
dades, etc.
Mayores niveles de seguridad. Una CMDB y DSL actualizadas permiten,
por ejemplo, detectar vulnerabilidades en la infraestructura.
Mayor rapidez en la restauracin del servicio. Si se conocen todos los ele-
mentos de configuracin y sus interrelaciones ser mucho ms sencillo recu-
perar la configuracin de produccin en el tiempo ms breve posible.
CMDB
9. Procesos de control
9.1. Gestin de la configuracin 659
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Realice un esquema con los dos primeros niveles de una CMDB para
su organizacin.
Qu campos incluira en la ficha del CI tipo servicio?
Cmo se organiza en su empresa el paso de los componentes soft-
ware, que suelen mantener de los equipos de desarrollo (control de
versiones), a la DSL?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
9. Procesos de control
9.2. Gestin del cambio 661
La gestin del cambio debe trabajar para asegurar que los cambios:
Son necesarios y estn justificados.
Se llevan a cabo sin perjuicio de la calidad del servicio de TI.
Estn convenientemente registrados, clasificados y documentados.
Cumplen los plazos acordados.
Han sido cuidadosamente probados en un entorno de prueba.
9. Procesos de control
9.2. Gestin del cambio 663
Fiabilidad, agilidad y eficiencia, son quiz los tres principios directores que debe
regir la gestin del cambio. Fiabilidad para evitar errores y fallos, agilidad para ser
capaces de cambiar los servicios respondiendo al time to maket que requiere la
empresa, y eficiencia para realizar el proceso incurriendo en costes mnimos, como
se muestra en la figura 9.2.3.
Figura 9.2.3. Principios directores que deben regir la gestin del cambio
El equilibrio entre estos tres mandatos permitir que, el control y rigor que impone
este proceso en la organizacin para conseguir la fiabilidad y reducir el riesgo, se
pueda realizar incurriendo en el mnimo coste organizativo. Si se adoptan procedi-
mientos excesivamente restrictivos, se mejora la fiabilidad, pero se dificultan los
cambios y la organizacin se vuelve lenta. Si por el contrario el proceso de cambio
se trivializa, se provoca una falta de estabilidad en el servicio que infringir impor-
tantes costes a causa de incidentes y la imposibilidad de controlar su calidad.
En el diseo del proceso y de las tareas que incluye hay que tener en cuenta el volu-
men de cambios que se tendrn que gestionar, pues una organizacin grande (por
664 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
ejemplo, de 10.000 usuarios y 500 servidores) suele gestionar entre 70 y 100 peti-
ciones de cambio ya formalizadas a la semana (sin contar los cambios estndar pre-
autorizados), por lo que, gran parte de la actividad del proceso se centra en contro-
lar que todos los involucrados en este flujo sin fin de cambios cumplan las reglas.
Disponer de una herramienta para su soporte es esencial.
Tambin, es conveniente diferenciar las actividades propias de la gestin del cam-
bio de las actividades especficas de la gestin de los proyectos que se encargan de
la construccin de los grandes cambios. El primero hace referencia al proceso
de control de toda la actividad que pueda impactar en los servicios, y el segundo se
encarga de engranar la actividad necesaria para construir o modificar las aplicacio-
nes o plataformas que forman parte de un cambio especfico. La gestin del cam-
bio se rige por ISO/IEC 20000, mientras que la gestin de proyectos utiliza disci-
plinas como PMBOK o PRINCE2.
Adems, hay que considerar que la gestin del cambio es una parte esencial del pro-
ceso de creacin de servicios (planificacin e implementacin de servicios nuevos o
modificados; vase el captulo 5), pues da luz verde al inicio de la construccin y se
responsabiliza de la implantacin del nuevo servicio.
Gestin del cambio tiene una estrecha relacin con gestin de la entrega, pues cada
uno de los cambios aprobados debe ser implantado y desplegado por este ltimo
proceso.
En la figura 9.2.4 se recoge un resumen de los elementos que intervienen el pro-
ceso de gestin del cambio.
Los elementos principales que componen el proceso de gestin del cambio son los
siguientes:
Cambio. Accin especfica y prevista que alterar o tendr un efecto sobre los ser-
vicios o la infraestructura de TI. En general, es cualquier adicin, eliminacin,
modificacin o movimiento de uno o ms CI (elementos de configuracin). En la
actividad habitual del proceso, los cambios se articulan en funcin de una serie de
criterios entre los que podemos considerar:
Atendiendo a su alcance, complejidad o impacto:
Gran cambio (macro).
Cambio significativo (mayor).
Cambio menor.
ACTORES SERVICIOS
CI
Documentacin
HW SLAs
Promotores Comit de cambios
de los cambios Gestor del cambio (CAB) SW
Solicitud de cambio
(RFC)
Lista de cambios Gestionar la
planificados (FSC) mejora del proceso
Plan de pruebas
Cambio estndar.
Cambio preautorizado.
Cambio urgente o de emergencia.
ciclo de vida del cambio hasta su ltimo requisito. Son ejemplos, implantar
un nuevo servicio con toda su infraestructura, realizar una consolidacin de
servidores, cambiar la arquitectura de los firewalls.
Cambio menor. De impacto bajo y que requiere pocos recursos. Suelen
recorrer un ciclo de vida mucho ms corto, eliminndose actividades de con-
trol que no tienen sentido para estos cambios menores. Por ejemplo, instalar
un servidor nuevo.
Cambio preautorizado. Cambio recurrente que se gestiona por delegacin
siguiendo unas reglas predeterminadas. Para cambios de escasa importancia,
recurrentes o que se repiten peridicamente, pueden acordarse procedimien-
tos estndar que no requieran la aprobacin expresa de la gestin del cambio
(cambios preautorizados). Una vez definida esta tipologa, permite una ges-
tin ms rpida y eficiente de cambios de bajo impacto en la organizacin de
TI. Por ejemplo, establecer los perfiles de acceso de un nuevo empleado,
generar una nueva contrasea o instalar una aplicacin en un PC.
Cambio de emergencia. Establecen la forma de actuar cuando es impres-
cindible introducir un cambio de forma inmediata para solucionar una crisis
grave.
Clasificacin de un cambio. Todo cambio debe ser clasificado para poder tratarlo
de la forma ms adecuada posible. De forma similar a los incidentes y los proble-
mas, se establecen dos tipos de clasificaciones: la categora que tipifica el contenido
del cambio y la prioridad con la que debe ser tratado:
Categora del cambio. Tipificacin de un cambio segn una clasificacin
predefinida, que tendr en cuenta el efecto del cambio en la organizacin
de TI en funcin de los recursos que se estimen necesarios para su implan-
tacin.
Prioridad del cambio. Valor que se asigna a la solicitud de cambio (RFC)
para indicar su importancia para la organizacin. Su objeto es el de asegurar
la adecuada asignacin de recursos y determinar el plazo en el que se requiere
su ejecucin. La prioridad depender de:
El impacto del cambio. Medida del efecto sobre el negocio.
La urgencia del cambio. Medida de plazo para la atencin de un cambio.
negocio. Se rene de forma regular para informar al gestor del cambio sobre la ido-
neidad de aprobar cada cambio. El CAB es convocado y liderado por el gestor del
cambio.
Gestor del cambio. Responsable de todo el proceso de gestin del cambio. Res-
ponsable ltimo de que toda la actividad de cambios no impacte en los servicios y
de que se realice segn lo establecido.
Herramienta de gestin del cambio. Es el conjunto de aplicaciones y bases de
datos necesarios para dar soporte informtico al proceso.
Informe de disponibilidad prevista del servicio (PSA, Projected Service Availa-
bility). Es el documento utilizado en la gestin del cambio para describir el efecto
de los cambios sobre los niveles de disponibilidad definidos en los acuerdos de
nivel de servicio. El PSA muestra detalles de las variaciones de la disponibilidad en
los acuerdos de nivel de servicio, motivadas por el cambio programado propuesto.
Lista de cambios planificados (FSC, Forward Schedule of Change). Es una pro-
gramacin unificada de todos los cambios en curso, que recoge los detalles de los
cambios cuya implantacin haya sido aprobada, as como las fechas propuestas para
su implantacin. En ITIL v3 se ha pasado a denominar lista de cambios (change
schedule).
La FSC es controlada por el gestor del cambio y debe ser acordada con todas las
partes: los clientes, la gestin de nivel de servicio, el centro de servicio al usuario,
gestin de la disponibilidad, etc. Una vez acordada, el centro de servicio al usua-
rio debera comunicar a la comunidad de usuarios cualquier planificacin o
tiempo adicional de parada para la implantacin de cambios, utilizando para ello
los mtodos ms efectivos disponibles.
La FSC es una entrada esencial del proceso de gestin de la entrega.
Plan de pruebas del cambio. Documento que detalla todas las pruebas necesarias
que se realizarn en todas las etapas por las que pasa el cambio, desde las pruebas
durante la fase de construccin, las pruebas en la fase de implementacin, hasta las
pruebas de aceptacin final del cambio. El plan de pruebas se prepara en el mbito
del proyecto.
Promotores de los cambios. Personas de la organizacin de TI que, a partir de
una necesidad de realizar un cambio, desencadenan la solicitud del cambio. En
cambios grandes o complejos, el cambio se gestionara como un proyecto y el pro-
motor sera el jefe del proyecto.
Registro de cambios. Base de datos que contiene toda la informacin relativa a los
cambios en curso ya realizados o rechazados. Contiene las RFC, los detalles sobre
668 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
Figura 9.2.5. Entradas, actividades y salidas del proceso de gestin del cambio
De una forma especfica, las Normas ISO/IEC 20000 establecen unas directrices
concretas que el proceso de gestin del cambio debe cumplir y que se deben tener
en cuenta en la planificacin, definicin, implantacin y operacin habitual del pro-
ceso.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Para garantizar una correcta gestin de los servicios, los procesos y procedimientos
de gestin de cambio debern garantizar que los cambios tengan su alcance clara-
mente definido y documentado. En coordinacin con la estrategia y la gestin del
porfolio de proyectos, la gestin del cambio tambin vela por que slo sean apro-
bados los cambios que proporcionan beneficios al negocio, por ejemplo, comercia-
les, legales, regulatorios o estatutarios.
En la planificacin del proceso, es recomendable definir y establecer los motivos
por los que se realizarn cambios, y quienes sern los promotores de estos cambios,
acotndose claramente los actores y la forma en la que se van a producir las entra-
das del proceso.
En la implementacin de una adecuada poltica de gestin del cambio en la
organizacin se deben superar algunos aspectos culturales crticos como los
siguientes:
Que los diferentes departamentos acepten la autoridad de la gestin del
cambio.
Que se sigan con rigor los procedimientos establecidos y, en particular, que
se actualice correctamente en la CMDB la informacin sobre los elementos
del servicio cambiados.
672 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Que los encargados de la gestin del cambio conozcan a fondo las activida-
des, servicios, necesidades y estructura de la organizacin capacitndoles
para desarrollar correctamente su actividad.
Que los gestores del cambio dispongan de las herramientas adecuadas de soft-
ware para monitorizar y documentar adecuadamente el proceso.
Y por supuesto, el compromiso suficiente de la direccin por implementar
rigurosamente los procesos asociados.
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
En el caso de cambios normales o menores, este ciclo de vida puede resultar pesado
y poco eficiente, por lo que se debera aligerar eliminando las etapas que no apor-
ten valor.
Se debe definir una estructura y formato para la solicitud de cambio. Segn sea el
tamao del cambio, la informacin a incorporar a la RFC ser ms amplia cuanta
mayor complejidad tenga el cambio para tener un mejor control sobre l. As en
cambios grandes, el jefe de proyecto aadir a la RFC los siguientes documentos:
Una planificacin detallada.
Un estudio de rentabilidad o business case.
Un informe de disponibilidad prevista (PSA).
Un plan de pruebas del cambio.
Registro de la RFC
En todos los cambios, la solicitud de cambio es recibida por el proceso de cambio
y desencadena las actividades del ciclo de vida del cambio. La primera de ellas, es el
registro de la RFC que, normalmente, lo realizar el propio promotor del cambio
en la herramienta de gestin del proceso. En el registro se introduce la informacin
inicial de la RFC.
Aceptacin de la RFC
Tras el registro de la RFC se debe evaluar preliminarmente su pertinencia. Una
RFC puede ser rechazada si se considera que el cambio no est justificado o se
puede solicitar su modificacin si se considera que algunos aspectos de la misma
son susceptibles de mejora o mayor definicin. En este caso, la RFC debe ser
9. Procesos de control
9.2. Gestin del cambio 677
Identificador de RFC.
Fecha de solicitud.
Intervinientes en el cambio.
Responsable del cambio/Solicitante del cambio - patrocinador del cambio.
Descripcin del cambio.
Agenda del cambio.
Fecha de implantacin y fechas intermedias relevantes.
Metas y objetivos.
Cul es el estado actual?, Por qu es necesario el cambio? Cul es el resultado
deseado del cambio? Cules son las consecuencias si el cambio es rechazado o
pospuesto?, etc.
Informacin econmica.
Informacin de costes y presupuesto.
Prioridad del cambio.
Planificacin del cambio.
Plan de proyecto de creacin del servicio.
Estimacin de recursos.
Tiempos/Utilizacin de recursos; por ejemplo, los tiempos necesarios para
probar/implementar el cambio.
Impacto del cambio.
Proveer informacin acerca del impacto del cambio (por ejemplo, en la empresa, el
departamento, el sistema). Esta descripcin debe marcar la importancia del cambio
y el riesgo asociado.
Documentacin.
Informacin relevante relacionada con las modificaciones provocadas por el cambio
solicitado.
Consideraciones clave y riesgos asociados.
Circunstancias bajo las que no se recomienda implementar el cambio. Requisitos
previos a la implementacin del cambio.
Riesgos asociados al cambio. Descripcin y aprobacin.
Aprobaciones.
Aprobacin o denegacin de la solicitud de cambio y fecha.
Responsables y firma de los integrantes del CAB intervinientes.
Observaciones/comentarios emitidos en el proceso.
Revisin post implantacin.
Resultado del cambio.
Fecha de la revisin.
Responsables y firma de los encargados de la revisin.
Observaciones/comentarios emitidos en el proceso.
Fuente: Libros ITIL Soporte de Servicio y Transicin del Servicio publicados por OGC, y Telefnica.
devuelta al departamento o persona que la solicit, para que se puedan realizar nue-
vas alegaciones o para que pueda ser modificada.
La aceptacin de la peticin de cambio no implica su posterior aprobacin por el
CAB, es slo indicacin de que se ha encontrado justificado su procesamiento.
Categora
Descripcin
del cambio
El impacto. Medida del efecto sobre el negocio que el tiene cambio actual-
mente o podra tener potencialmente. Se relaciona con el grado de incumpli-
miento del SLA. Se puede valorar en funcin de la criticidad para el negocio
del/los servicio/s afectado/s, el nmero de usuarios afectados y su importan-
cia relativa en la organizacin.
La urgencia. Medida de la criticidad para la atencin de un cambio, en fun-
cin de los tiempos lmites que fueron pactados con el negocio. Puede iden-
tificarse con el tiempo disponible para su tratamiento antes de que se llegue
al incumplimiento del SLA. Se puede establecer mediante la estimacin del
tiempo necesario para la resolucin, tomando como referencia los tiempos
de respuesta establecidos en el SLA.
En cualquier caso, los criterios para definir el impacto y la urgencia deberan esta-
blecerse en coordinacin con los responsables del negocio y formalizarse en el SLA.
En la figura 9.2.9 se presentan los tipos de prioridad ms habituales y su corres-
pondencia con el procedimiento aplicable.
Tiempo de
Prioridad Descripcin Procedimiento
atencin
Para la aprobacin de la construccin del cambio el gestor del cambio debe eva-
luarlo minuciosamente, especialmente los grandes (de categora macro y mayor)
contemplando:
Cules son los beneficios esperados del cambio propuesto. Revisin del caso
de negocio (business case) presentado por el promotor del cambio.
Justificacin de esos beneficios frente a los costes asociados al proceso de
cambio.
Cules son los riesgos asociados. Revisin del informe de disponibilidad pre-
vista (PSA).
Si se dispone de los recursos necesarios para llevar a cabo el cambio, en forma
y plazo, con garantas de xito.
Prioridad asignada: urgencia, conocer si puede demorarse el cambio e
impacto, cul ser el impacto general sobre la infraestructura y la calidad de
los servicios de TI.
Puede el cambio afectar los niveles establecidos de seguridad de TI?
682 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
y/o la gestin de infraestructuras de TI. Pero el proceso de gestin del cambio debe
realizar una supervisin de esta actividad.
En la fase de construccin del cambio se deber supervisar el proyecto para asegu-
rar que:
Tanto el software desarrollado como el hardware adquirido se ajustan a las
especificaciones predeterminadas.
Se cumplen los calendarios previstos y la asignacin de recursos es la adecuada.
El entorno de pruebas es realista y simula adecuadamente el entorno de pro-
duccin.
Los planes de marcha atrs permitirn la rpida recuperacin de la ltima
configuracin estable.
Si es posible, debe permitirse el acceso restringido de usuarios al entorno de
pruebas para que realicen una valoracin preliminar de los nuevos sistemas
en lo que respecta a su funcionalidad, usabilidad y accesibilidad.
Implementacin de un cambio
La etapa de implementacin corresponde a la integracin del cambio en la infraes-
tructura, a las pruebas finales y al paso al entorno productivo.
Aunque la gestin del cambio no es la encargada directa de implementar el cambio,
algo de lo que se encarga habitualmente la gestin de la entrega (con recursos de
infraestructuras y del propio proyecto) o directamente los equipos tcnicos, s es la
encargada de supervisar y coordinar todo el proceso. Mientras que en ISO/IEC
20000 y en ITIL v2 es el proceso de gestin de la entrega (release management), en
ITIL v3 la implementacin de cambio se realiza bajo el proceso denominado ges-
tin de versiones y despliegues (release and deployment management).
UNE-ISO/IEC 20000-1
Se debe revisar el xito de todos los cambios y, en caso contrario, se deben decidir y
llevarse a cabo acciones correctivas tras la implementacin.
UNE-ISO/IEC 20000-2
Si la evaluacin final determina que el proceso y los resultados han sido satisfacto-
rios, se proceder al cierre de la RFC.
9. Procesos de control
9.2. Gestin del cambio 685
Cambios de emergencia
Cualquier interrupcin del servicio de alto impacto, ya sea por el nmero de usuarios
afectados o porque se han visto involucrados sistemas o servicios crticos para la orga-
nizacin, debe encontrar una respuesta inmediata adecuada. Es frecuente que la solu-
cin al incidente requiera un cambio urgente, pero hasta las urgencias y las situacio-
nes de crisis, deben estar reguladas mediante un procedimiento de emergencia.
El procedimiento que se debe seguir en estos casos de crisis debe estar debidamente
previsto. Como el objetivo prioritario en estas situaciones crticas es restaurar el
servicio, es a menudo frecuente que los procesos asociados sigan un orden inverso
al usual, realizndose a posteriori tanto en los registros en la CMDB, como en la
documentacin asociada al cambio.
686 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Figura 9.2.11. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
9. Procesos de control
9.2. Gestin del cambio 689
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI, que acta como propietario del proceso
(process owner), define las actividades del proceso y se encarga de la mejora
continua del mismo. Todo ello, de una forma integrada con el modelo de
gestin del proveedor de TI incorporado en el SGSTI.
Los jefes de los proyectos de desarrollo o de infraestructuras que controlan
todas las actividades asociadas a los cambios grandes.
Los especialistas tcnicos.
Los roles de mayor relevancia que participan en el proceso de gestin del cambio
se representan en el grfico de la figura 9.2.12.
Resumen
La necesidad de continua evolucin de las tecnologas de la informacin requiere
una actividad constante de cambios en las infraestructuras y en los desarrollos para
permanecer actualizado y evitar que los servicios se queden obsoletos.
El proceso de gestin del cambio es clave para mantener la estabilidad de los
servicios, pues regula y controla toda actuacin sobre ellos. El proceso necesita
690 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Responsable de la
gestin del servicio
Promotores
Gestor
o solicitantes
del cambio
SGSTI de los cambios
Propietario del
modelo (SGSTI)
Comit de cambios
(CAB)
Administrador y
Especialistas soporte del proceso
tcnicos del cambio
Beneficios
Los principales beneficios derivados de una correcta gestin del cambio son los
siguientes:
Se reduce el nmero de incidentes y problemas potencialmente asociados a
todo cambio. Por lo tanto, se reduce el riesgo asociado a los cambios.
Se reducen los plazos medios en la implantacin de los cambios.
La organizacin realiza los cambios con ms eficiencia.
Se reduce el impacto en el negocio debido a las paradas asociadas a los
cambios.
Se puede retornar a configuraciones estables de manera sencilla y rpida en el
caso en el que el cambio tenga un efecto negativo.
Se reduce el nmero de operaciones de marcha atrs necesarias.
Los cambios son mejor aceptados y se evitan tendencias inmovilistas.
Se evalan los verdaderos costes asociados al cambio y, por tanto, es ms sen-
cillo valorar el retorno real de la inversin.
La CMDB y la DSL estn correctamente actualizadas, algo imprescindible
para la correcta gestin del resto de los procesos de TI.
Se reducen las actuaciones de emergencia y el trastorno que ocasionan en el
trabajo diario.
Se desarrollan procedimientos de cambio estndar que permiten la rpida
actualizacin de sistemas no crticos.
692 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 1:
Cite tres ejemplos en su organizacin de cambios pre-autorizados, de
cambios mayores y de cambios de emergencia.
Por limitacin de recursos, debe escoger slo 3 procesos para imple-
mentar en primer lugar. Si uno de ellos es gestin del cambio, qu
otros dos procesos implementara en su organizacin?
Qu aspectos de lo descrito en este apartado no se adaptan bien a
su organizacin? Por qu?
1
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
10 Proceso de gestin
de la entrega
Captulo 10
La mayor cantidad de fallos en los servicios viene generada por errores en los cam-
bios e implantaciones, tanto por defectos en su construccin como por errores en
las operaciones que conlleva la puesta en explotacin. Pero las organizaciones de TI
deben mantener un ritmo constante de cambios y de creacin de nuevos servicios
para responder de una forma gil a las necesidades del negocio.
Realizar cambios en los servicios no es tarea sencilla, tanto por la cantidad de com-
ponentes hardware y software, como por el nmero de suministradores que entran
en escena para mantener los servicios de TI. Adems, se requiere que los servicios
evolucionen sin interferir en la produccin normal, manteniendo los niveles de servi-
cio acordados y garantizando los tiempos comprometidos, no slo para las tareas
identificadas del despliegue, sino tambin para los plazos que marca el negocio
(time to market).
La importante misin de introducir cambios se realiza mediante dos procesos: la
gestin del cambio y la gestin de la entrega. Si la gestin del cambio pone control
y orden en todas las peticiones de cambio, bajo el concepto del proceso de entrega,
se agrupan las actividades operativas necesarias para que el cambio se ponga en el
entorno productivo, minimizando el riesgo de fallos y maximizando la eficiencia de
las tareas que se deben llevar a cabo.
Las Normas ISO/IEC 20000 dedican la mayor extensin de requisitos y recomen-
daciones a este proceso. El xito en este proceso de entrega vendr dado por la uti-
lizacin de unos procedimientos y tareas bien desarrollados y controlados, que per-
mitan una gestin correcta de los recursos puestos a disposicin del proceso, y la
optimizacin y mejora del mismo.
Un proveedor de TI de tamao medio suele realizar entre 70 y 100 cambios sema-
nales en sus servicios. Adems de esto, cada servicio operativo suele tener dos o tres
grandes versiones al ao. Para complicarlo an ms, muchos estos cambios se debe-
rn realizar fuera de la jornada laboral. Por tanto, la realizacin de una forma segura
y eficiente de las tareas de implementacin de los cambios resulta esencial para la
calidad de los servicios y para la tranquilidad de todos. En este captulo encontrar
las prcticas ms avanzadas para lograrlo.
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 697
El nombre del proceso de gestin de la entrega, del trmino ingls release manage-
ment, ha tenido mltiples traducciones al castellano. Tambin se le conoce como
gestin de despliegues, gestin de versiones, gestin de lanzamientos, gestin de
despliegue de versiones, etc. En ISO/IEC 20000 e ITIL v2 se ha traducido como
gestin de la entrega, mientras que en ITIL v3 adopta el nombre de gestin de des-
pliegues y versiones (release and deployment management) 1.
La gestin de la entrega ejecuta las acciones a realizar para producir el cambio auto-
rizado.
Los cambios se convierten en entregas una vez que han sido construidos y ha sido
aprobada su transicin, por ello, toda entrega ha tenido que pasar primero por la
gestin del cambio. El proceso se activa con la recepcin de la peticin de cambio
aprobada (RFC) y de los elementos a instalar. Desde este momento hasta que el
cambio ha sido incorporado a la produccin normal, es necesaria la intervencin
1
Vase la terminologa acordada por el sector en www.itsmf.es
698 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Despliegue
(automatizacin)
Poltica
de entregas
Planificacin
de la entrega
Metodologa
de pruebas
Plataformas
de pruebas
e integracin
Entrega
CMDB DSL
Lista de cambios Base de datos Biblioteca de Almacn definitivo
planificados (FSC) de gestin de software definitivo de hardware
la configuracin
Los componentes que intervienen en el proceso de gestin del incidente son los
siguientes.
Almacn de Hardware Definitivo (DHS). Uno o varios emplazamientos dis-
puestos para el almacenamiento seguro de componentes y repuestos de hardware.
Estos componentes se gestionan con el mismo nivel que los elementos de configu-
racin hardware equivalentes del entorno de produccin. El mantenimiento com-
pleto del DHS es responsabilidad directa del proceso de gestin de la entrega. En
ITIL v3, en el proceso de gestin de la configuracin se habla del almacenamiento
de los recambios o repuestos definitivos (DS, Definitive Spares).
Base de Datos de Gestin de la Configuracin (CMDB). Base de datos gestio-
nada por el proceso de gestin de la configuracin y que el proceso de gestin de la
entrega debe actualizar con los cambios a los elementos de configuracin (CI) que
realice de forma coordinada con gestin de la configuracin.
Biblioteca de Software Definitivo (DSL). La gestin de la entrega debe actuali-
zar este repositorio con las ltimas versiones del software implementado en produc-
cin, as como con la parametrizacin realizada y la documentacin asociada. En
ISO/IEC 20000 la responsabilidad de este repositorio recae en gestin de la confi-
guracin. Por tanto, al igual que en el caso de la CMDB, cualquier actualizacin en
esta biblioteca debe estar coordinada con el proceso de gestin de la configuracin.
Despliegue. Es la accin de poner en produccin el conjunto de cambios que con-
tiene una entrega. Es importante poner foco en la automatizacin de este proceso
mediante el uso de las herramientas tcnicas adecuadas.
Entrega. Es un conjunto de cambios aprobados en un servicio TI, que se prueban
e introducen como conjunto en el entorno de produccin. Consta del software
nuevo o modificado y del hardware nuevo o modificado. Se define por las RFC que
implementa. La entrega se caracteriza por:
Unidad de entrega. Porciones de los servicios que normalmente se imple-
mentan a la vez. Generalmente, esta unidad es variable, dependiendo de los
tipos de elementos de software y hardware implicados
Tipo de entrega. Se definen varias categoras de entregas en funcin del
impacto (mayores y menores), la urgencia (normales y emergencia) y la tasa de
renovacin de elementos de configuracin (completas, delta y empaquetadas).
Identificacin de la entrega. Las entregas deben estar identificadas unvo-
camente de acuerdo a un esquema definido en la poltica de entregas. Debe
incluir una referencia al servicio o elemento de configuracin que representa
y un nmero de versin de hasta tres niveles (por ejemplo, servicio_
nomina_V2.3.6).
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 703
la conexin del aplicativo software con el entorno real (reglas del firewall, segmenta-
cin de VLAN, integracin con el middleware, automatizacin de tareas batch, inte-
gracin en la monitorizacin, integracin en el backup, etc.) para poder comprobar
su correcto funcionamiento antes del paso a produccin regular.
Poltica de entrega. Define las funciones y responsabilidades principales de la ges-
tin de la entrega. Establece las pautas en toda la organizacin para la implementa-
cin de los cambios. Normalmente se suelen definir tres o cuatro grandes ciclos de
entrega anuales, que regula todo el mantenimiento evolutivo y correctivo de las
aplicaciones. Los cambios que no pueden asociarse a estos ciclos anuales, se gestio-
nan al detalle intentando agruparlos o empaquetarlos. La poltica de entrega debe
incluir tambin la numeracin, frecuencia de las entregas y el nivel de infraestruc-
tura TI comprendido en las entregas. La poltica de entrega es parte del plan del
proceso de gestin de la entrega.
Revisin (PIR, Post Implementation Review). Comprobacin tcnica y funcional
que se realiza transcurrido un determinado perodo de tiempo tras la implantacin
de la entrega y cuyo objetivo es el de validar si los efectos de los cambios han sido
los deseados, para proceder al cierre definitivo de la entrega y, consecuentemente,
de los cambios que alberga. La realiza el proceso de gestin de la entrega, la lidera
el gestor del cambio.
La entrega
Se define como entrega a una coleccin de hardware, software, documentacin,
procesos u otros componentes requeridos para implementar uno o ms cambios
aprobados a los servicios de TI. Los contenidos de cada entrega son administrados,
probados e implementados como una nica entidad (Glosario ITIL v3, OGC).
Las entregas se suelen clasificar segn su impacto en la infraestructura TI, en las
siguientes categoras:
Entregas mayores. Representan importantes despliegues de software y hard-
ware, y que introducen modificaciones importantes en la funcionalidad,
caractersticas tcnicas, etc.
Entregas menores. Suelen implicar la correccin de errores conocidos pun-
tuales. Su tamao reducido no exime que se implementen de una manera
procedimentada y correctamente documentada.
UNE-ISO/IEC 20000-1
Nota: El proceso de gestin de la entrega se debera integrar con los procesos de gestin de la configu-
racin y de gestin del cambio.
El proveedor del servicio debe planificar con el negocio la entrega de los servicios,
sistemas, software y hardware. Los planes sobre cmo desplegar una entrega se
deben acordar y autorizar por todas las partes pertinentes, por ejemplo clientes,
usuarios, personal de operaciones y de soporte.
UNE-ISO/IEC 20000-2
En la implementacin del proceso hay que considerar las relaciones con otros pro-
cesos. La gestin de la entrega, est estrechamente ligada con la gestin de la confi-
guracin y la gestin del cambio:
Gestin de la configuracin, para asegurar que toda la informacin relativa a
las nuevas versiones se integra adecuadamente en la CMDB, de forma que
sta se halle correctamente actualizada y ofrezca una imagen real de la confi-
guracin de la infraestructura TI.
Gestin del cambio: la gestin de la entrega tiene la responsabilidad de
implementar las entregas acordadas por el comit de cambios. La gestin del
cambio es la encargada de aprobar y supervisar todo el proceso, pero es tarea
especfica de la gestin de la entrega el disear, poner a prueba e instalar en
el entorno de produccin los cambios preestablecidos.
Poltica de entrega
La principal misin de la poltica de entrega es que toda la organizacin entienda y
asuma la funcin de la entrega y su alto nivel de implicacin y responsabilidad en la
construccin y evolucin de los servicios, una vez aprobados por la gestin del
cambio. La poltica de entrega se debe realizar alineada con la poltica de construc-
cin de servicios y la estrategia de TI.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Poltica de entrega
Implant.
El ciclo de vida completo de una entrega comienza una vez que el cambio ha sido
construido, aceptado por el equipo tcnico y aprobada su implementacin por la
gestin del cambio. En la figura 10.1.7 se presenta el ciclo tpico de una entrega.
El ciclo de vida completo de una entrega se resume en:
La gestin del cambio (el gestor o el CAB) aprueba la implantacin del cam-
bio construido. La aprobacin acta como desencadenante del proceso de
gestin de la entrega.
Se realiza la aceptacin y revisin preliminar del cambio construido. Se rea-
liza la primera planificacin, acorde con lo previsto en el proyecto de cons-
truccin.
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 713
Realizar la formacin necesaria a los usuarios y tcnicos para que sean capa-
ces de gestionar los nuevos servicios.
Garantizar y ejecutar un plan de marcha atrs a un punto consistente si la
entrega no tuviera xito.
Comunicar y formar a los clientes y usuarios sobre las funcionalidades de
la nueva versin.
Comunicar y formar a los tcnicos y responsables de produccin sobre la
operacin de la nueva versin, errores conocidos o cambios en los niveles
de servicio.
Actualizar la CMDB, DSL y DHS. Es fundamental garantizar que se han
actualizado correctamente estos repositorios.
Realizar la verificacin postimplementacin de la entrega y comunicrselo a
la gestin del cambio.
UNE-ISO/IEC 20000-1
El proveedor del servicio debe planificar con el negocio la entrega de los servicios,
sistemas, software y hardware. Los planes sobre cmo desplegar una entrega se
deben acordar y autorizar por todas las partes pertinentes, por ejemplo clientes,
usuarios, personal de operaciones y de soporte.
El proceso debe incluir la forma en que se de marcha atrs o se corrija la entrega si
no se realiza con xito.
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 715
Los planes deben registrar los entregables y las fechas de la entrega, y hacer refe-
rencia a las peticiones de cambio, errores conocidos y problemas relacionados.
El proceso de gestin de la entrega debe proporcionar la informacin adecuada al
proceso de gestin del incidente.
Las peticiones de cambio se deben evaluar en cuanto a su impacto en los planes de
entregas. Los procedimientos de gestin de la entrega deben incluir la actualizacin
y el cambio de la informacin de configuracin y los registros de cambio. Las entre-
gas de emergencia se deben gestionar de acuerdo a un proceso definido que rea-
lice la interfaz con el proceso de gestin del cambio de emergencia.
UNE-ISO/IEC 20000-2
El proveedor del servicio debera traba- errores conocidos que hayan sido
jar conjuntamente con el negocio para identificados durantes las pruebas
asegurar que los elementos de configu- de la entrega;
racin que se van a desplegar en una c) los procesos relacionados para la
entrega son compatibles entre s y con implementacin de una entrega a
los elementos de configuracin del lo largo de todo el negocio y las
entornode destino.
diferentes unidades geogrficas;
La planificacin de la entrega debera
d) el modo en el que se dar mar-
asegurar que los cambios de los siste-
cha atrs de la entrega o en que
mas de informacin, infraestructuras,
esta se remediar si no se con-
servicios y documentacin afectados
cluye con xito;
son acordados, autorizados, planifica-
dos, coordinados y que se realiza un e) los procesos de verificacin y acep-
seguimiento de los mismos. tacin;
La entrega y el despliegue se deberan f) la comunicacin, preparacin,
planificar en etapas ya que los detalles documentacin y formacin para
del despliegue podran no ser conoci- los clientes y personal de apoyo;
dos inicialmente. g) la logstica y los procesos implica-
La planificacin de una entrega y del dos para realizar la compra, el
despliegue normalmente debera incluir: almacenamiento, la expedicin, la
a) las fechas de la entrega y la des- conexin, la aceptacin y la puesta
cripcin de los entregables; a disposicin de los bienes;
b) los cambios y problemas relacio- h) los recursos de apoyo necesarios
nados, errores conocidos cerra- para asegurar el mantenimiento
dos o resueltos por esta entrega y de los niveles de servicio;
716 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Hardware:
Las especificaciones del hardware.
Las instrucciones de ensamblaje y los manuales de instalacin.
Documentacin, manuales de uso de configuracin, soporte y manteni-
miento.
Contrato de mantenimiento, garantas, soportes, relacin de proveedores
y fabricantes, etc.
718 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Documentacin:
Aplicaciones, sistemas, herramientas, utilidades, hardware, etc.
Control y gestin:
Inclusin en los sistemas de monitorizacin y alertas.
Inclusin en los sistemas de gestin del servicio.
Personas:
Tcnicos que debern intervenir.
Personas del rea cliente o usuarios que debern participar para validar los
resultados.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Es importante que los planes de pruebas incluyan tambin la prueba de los planes
de marcha atrs, para asegurar la posibilidad de volver a la ltima versin estable
de una forma rpida, ordenada y sin prdida de informacin valiosa.
Las principales actividades realizadas en el proceso de prueba deben incluir:
Pruebas del correcto funcionamiento de la versin en un entorno realista.
Pruebas de integracin con la versin en produccin. Si se realiza un desplie-
gue fragmentado en el entorno de produccin, ser necesario realizar las
pruebas con las versiones operativas.
Pruebas de regresin si fueran necesarias en preproduccin.
Pruebas de capacidad en el entorno de preproduccin.
Pruebas de los procedimientos automticos o manuales de instalacin.
Listas de errores detectados, si se diera el caso.
Pruebas de los planes de marcha atrs.
Documentacin para usuarios, tcnicos de soporte y desarrolladores.
UNE-ISO/IEC 20000-1
UNE-ISO/IEC 20000-2
Destacar que tambin debe ser parte integrante del desarrollo los planes de marcha
atrs asociados. Estos tendrn que tomar en cuenta la disponibilidad acordada con
los clientes en el SLA.
Es necesario que todo procedimiento de entrega, genere un histrico de su resultado.
La documentacin de las entregas debe seguir un patrn uniforme definido. La
metodologa de desarrollo o construccin utilizada, debe contemplar la descripcin
de la documentacin a utilizar. Los modelos de documentacin debern adecuarse
al tipo de entrega, centrndose en que la documentacin de la entrega contenga
todos los apartados de utilidad. Con frecuencia se utiliza el mismo patrn de docu-
mentacin para una gran entrega que para cambios sencillos, resultando bastante
pesada e intil.
La documentacin va evolucionando desde archivos de texto aislados, hacia siste-
mas documentales integrados. Cada vez es ms frecuente, que la documentacin de
los servicios y sus evoluciones se estructuren en un sistema web que se convierte en
una ayuda o consulta online accesible de forma selectiva por todas las partes de la
organizacin.
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
UNE-ISO/IEC 20000-2
Figura 10.1.8. Mtricas para este proceso del Modelo Abreviado de Mtricas
de itSMF Espaa
Los roles ajenos que son relevantes en este proceso son los siguientes:
El responsable de la gestin del servicio, que vela por que todos los servicios
cumplan los niveles pactados.
El propietario del modelo SGSTI acta como propietario del proceso (pro-
cess owner). Define las actividades del proceso y se encarga de la mejora con-
tinua del mismo. Todo ello, de una forma integrada con el modelo de ges-
tin del proveedor TI incorporado en el SGSTI.
El responsable de la gestin del cambio, que debe autorizar el inicio de las
pruebas e integracin, la implantacin en produccin y el cierre de la entrega.
Resumen
El proceso de la gestin de la entrega proporciona control sobre la implementacin
de los cambios, garantiza la calidad de lo construido y vela por minimizar el
impacto de las paradas en los entornos productivos. Junto con la gestin del inci-
dente, es uno de los procesos que ms recursos consume de TI y ms tensin
genera, por lo que deber tenerse en cuenta en su primera implementacin y en el
ciclo de mejora continua.
Por tanto, la gestin de la entrega:
Proporciona confianza, en cuanto a robustez de la solucin, al haber sido
certificada en los entornos y modelos de pruebas.
Aporta eficiencia a la organizacin, al ofrecer una sistemtica para el desplie-
gue de componentes, optimizado y monitorizado, que reduce el tiempo nece-
sario para realizar estas tareas. Automatizando aquellas que sean repetitivas.
Pone orden manteniendo un listado de cambios planificados (FSC).
Ejerce control sobre los servicios, al disponer de una sistemtica para instalar
cualquier versin de estos.
Garantiza, de forma coordinada con el proceso de la gestin del cambio, la
disponibilidad y estabilidad de la operacin diaria de los servicios con una
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 729
Responsable de la
gestin del servicio
SGSTI
Gestor de Administrador y
la entrega soporte del proceso
de entrega
Propietario del
modelo (SGSTI)
poltica de entregas pactadas, con fechas para los pasos a explotacin acorda-
dos. Esto permite hacer un calendario junto con los responsables de los servi-
cios, que posibilita el no hacer coincidir en el tiempo despliegues y puntas
de negocio, o fechas crticas para la correcta prestacin del servicio.
Prev con anterioridad la necesidad de recursos para el proceso, lo que per-
mitir una correcta planificacin de las personas y los componentes.
Controla a los proveedores en cuanto a la validez de sus entregas.
Garantiza de que la CMDB esta correctamente actualizada.
Controla el software instalado en produccin, su parametrizacin y documen-
tacin, a travs de una DSL actualizada. Esto incluye no slo sistemas ope-
rativos y aplicaciones sino tambin controladores de dispositivos y documen-
tacin asociada.
730 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Beneficios
Los principales beneficios aportados por el proceso de gestin de la entrega son los
siguientes:
Los cambios en los servicios se realizan sin deterioro de la calidad de servicio.
Las nuevas versiones cumplen los objetivos propuestos.
Se reduce el nmero de incidentes por incompatibilidades con otro software
o hardware instalado.
Se establece un orden lgico para el paso a produccin, que permite la inte-
gracin no traumtica de las diferentes soluciones, evitando los incidentes
por efectos colaterales en produccin.
El proceso de pruebas asociado, no slo permite asegurar la calidad del software
y hardware que se va a instalar, sino que tambin permite conocer la opinin de
los usuarios sobre la funcionalidad y usabilidad de las nuevas versiones.
Tambin permite detectar posibles problemas de capacidad, en las pruebas
realizadas, y actuar con la gestin de la capacidad, para garantizar las necesi-
dades en produccin.
El correcto mantenimiento de la DSL impide que se pierdan las valiosas
copias de los archivos fuente.
Se reduce el nmero de copias de software ilegales.
Control centralizado del software y hardware desplegado.
Se garantiza la existencia de un plan de marcha atrs a un punto estable, que
garantiza la posibilidad de continuidad de la explotacin, todos los despliegues
son controlados en cuanto un nivel de impacto y riesgo sobre la produccin.
Proteccin contra virus y problemas asociados a versiones de software incon-
troladas.
Se garantiza la existencia de los procedimientos de gestin y monitorizacin,
que permiten la correcta operatividad en produccin, del software y hardware
desplegado.
10. Procesos de gestin de la entrega
10.1. Gestin de la entrega 731
? Aplique lo aprendido
Para afianzar la comprensin del captulo, se sugiere que responda a las
siguientes preguntas 2:
Cmo encaja la metodologa de pruebas en el proceso de entrega?
El equipo de desarrollo de software, qu papel juega en este pro-
ceso?
Cite dos mejores prcticas en su organizacin relativas al proceso de
entrega.
2
Le recordamos que puede compartir sus experiencias y debatir las respuestas con los autores y
otros lectores en el foro web del libro: http://www.LibroISO20000.es.
11
Captulo 11
La certificacin de la
gestin del servicio de TI
conforme a ISO/IEC 20000
De forma paulatina, se observa que la alineacin con ISO/IEC 20000 es cada vez
ms un criterio empleado en la toma de decisiones relevantes en la contratacin de
recursos de TI, dado que la aplicacin de estas normas permite a cualquier provee-
dor de servicios de TI acreditar la calidad en la prestacin de sus servicios. Esto
quiere decir que estn alineados con el negocio, que se aplican criterios de eficien-
cia, que se reducen los riesgos de operacin del servicio, que se satisfacen los requi-
sitos de sus clientes, que se vela por el cumplimiento de los suministradores, etc.
Para obtener la certificacin ISO/IEC 20000 es necesario tener implementado el
sistema de gestin del servicio de TI (SGSTI) y tambin haber evolucionado en las
formas de trabajar para incorporar las prcticas y los requisitos de estas normas.
A partir de este momento, se est en disposicin de cubrir una serie de etapas nece-
sarias para la obtencin de la certificacin.
El ciclo de certificacin no es un recorrido lineal que empieza y termina. Ms
bien, es parecido a un crculo de mejora, que comienza con la certificacin inicial
y que culmina con el mantenimiento y mejora en la calidad de la gestin de los
servicios. Este aspecto es clave en ISO/IEC 20000-1. Por ello, en las normas se
738 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
1. Determinar alcance
2. Solicitud de certificacin
3. Auditora fase I:
Anlisis de documentacin
4. Auditora fase I:
Visita previa
5. Auditora fase II
La primera
certificacin Existen S
no conformidades?
Plan de acciones
correctivas
6. Evaluacin y decisin
8. Auditoras de seguimiento
Mantenimiento de (aos 1 y 2)
la certificacin
9. Auditora de renovacin Responsabilidad proveedor TI
(cada tercer ao) Lidera el certificador
Fuente: AENOR.
PDCA. Pero no est tan claro si se deben certificar todos los servicios, todas las
localizaciones, todos los clientes a la vez. De aqu, la importancia en consensuar el
alcance.
Es frecuente acometer el alcance completo en varias certificaciones sucesivas, ms
pequeas, ms rpidas y con menos riesgo de fracaso. Es importante que los servi-
cios seleccionados para la certificacin sean lo suficientemente representativos para
el proveedor de TI, ya sea por volumen de actividad, impacto en la cuenta de resul-
tados, etc.
Una vez identificados los servicios hay que determinar las ubicaciones en las que se
prestan. Es necesario identificar qu ubicaciones entrarn a formar parte de la cer-
tificacin. En este punto, lo deseable es que las ubicaciones elegidas sean todas en
las que se prestan los servicios seleccionados y, en el caso de certificaciones con el
alcance reducido deben ser lo suficientemente representativas. Adems, las exclu-
siones deben estar perfectamente justificadas.
Llegados a este punto es recomendable que el proveedor de TI realice una evalua-
cin de la situacin actual del alcance definido para la certificacin (vase la evalua-
cin o assessment descrito en el captulo 4). De esta forma, podr determinar su
situacin respecto a los requerimientos de la norma. En el caso de necesitar acome-
ter mejoras en el sistema de gestin del servicio de TI, evaluar su viabilidad, y
tomar la decisin de si se inicia el proceso de certificacin.
Hasta este momento el proveedor de TI no ha tenido contacto con el equipo de
auditora de la certificacin, por lo que la definicin del alcance y la evaluacin rea-
lizados son internas y no estn validadas por el certificador.
2. Solicitud de certificacin
El siguiente paso cubre la confeccin del formulario de solicitud de certificacin,
que la entidad de certificacin remite al proveedor de TI previa solicitud.
En la solicitud se incluye informacin, como por ejemplo, el alcance de la certifica-
cin, contactos, direcciones, nmero de personas de la organizacin, nmero de
emplazamientos, etc. (vase la figura 11.1.3).
Esta informacin es importante, ya que proporciona una idea de la dimensin del
sistema de gestin de servicios que se pretende certificar y que ser una de las varia-
bles que se deben tener en cuenta a la hora de planificar la auditora. Esta planifica-
cin determina el volumen de las actividades que se van a realizar y la estimacin
de carga de trabajo, que dar como resultado una oferta de la entidad de certifica-
cin con un presupuesto.
11. La certificacin de la gestin del servicio de TI conforme a ISO/IEC 20000
11.1. La primera certificacin conforme a ISO/IEC 20000 741
Fuente: AENOR.
sern tenidas en cuenta por el equipo auditor en la siguiente actividad, que se deno-
mina visita previa.
Este anlisis se puede realizar tanto en las instalaciones de la organizacin de TI,
como en las instalaciones de la entidad certificadora. En ocasiones se realiza
de forma conjunta con la visita previa que se detalla a continuacin. El anlisis de
documentacin y la visita previa forman parte de la auditora fase I.
5. Auditora fase II
La auditora fase II es la actividad clave en el proceso de certificacin. En ella el
equipo auditor evala al completo el sistema de gestin de servicios de TI
(SGSTI). Analiza su conformidad con relacin a los requisitos de la norma y com-
prueba su implantacin y funcionamiento operativo.
Para ello, la entidad certificadora confecciona un plan de auditora especfico para
el cliente (vase la figura 11.1.4).
La auditora fase II comienza con una reunin en la que se presenta el plan de tra-
bajo de la auditora y se concretan las entrevistas con las personas de las reas que
sern objeto de la visita. Esta etapa, dependiendo del alcance de la certificacin
acordado, puede durar entre 3 y 6 jornadas.
Para cada uno de los servicios y centros incluidos en el alcance de la certificacin, se
revisar el cumplimiento del manual de gestin de servicios y su adecuacin a la
norma objeto de certificacin. Para realizar esta labor, el equipo auditor revisar el
cumplimiento de la norma mediante comprobaciones in situ y evidencias formales
de su cumplimiento.
El resultado de la auditora fase II se plasma en un informe, en cuyo contenido se
reflejarn las no conformidades o incumplimientos detectados por el equipo
auditor. Dichos incumplimientos estarn contrastados frente a los requisitos espe-
cificados por la norma, los legales o reglamentarios, los de los clientes de la organi-
zacin o los propios del SGSTI.
El informe ser entregado y comentado en la reunin final de auditora.
Plan de acciones correctivas. En el caso que el informe de la auditora refleje no
conformidades, el proveedor de TI debe confeccionar un documento especfico: el
Plan de Acciones Correctivas (PAC).
Para ello, la organizacin dispone de un plazo de tiempo establecido para presentar
a la entidad de certificacin el plan de acciones correctivas dirigido a subsanar las no
conformidades detectadas en la auditora. En dicho plan se debe incluir un anlisis
11. La certificacin de la gestin del servicio de TI conforme a ISO/IEC 20000
11.1. La primera certificacin conforme a ISO/IEC 20000 745
Nombre de la empresa.
Domicilio.
Alcance de la auditora.
Normas de referencia que aplican.
Composicin del equipo auditor.
Programa de trabajo, detallando:
Reunin inicial:
Fechas y horarios.
Auditores y asistentes.
Agenda.
Reuniones de auditoria:
Fechas y horarios.
Auditores y asistentes.
Servicios de TI y apartados de la
norma a auditar en cada reunin.
Reunin final:
Fechas y horarios.
Auditores y asistentes.
Fuente: AENOR.
de las causas que motivaron cada uno de los incumplimientos y, tambin, deben
quedar reflejados los responsables de la implantacin de dichas acciones.
Una vez emitido el plan de acciones correctivas, puede ocurrir que se necesiten
aclaraciones relacionadas con las acciones enviadas, por lo que podra ser necesario
efectuar ampliaciones del PAC.
6. Evaluacin y decisin
Cuando se ha cerrado el plan de acciones correctivas, el responsable de la auditora
enva un informe a la entidad de certificacin con una recomendacin sobre la con-
veniencia de conceder, o no, la certificacin al proveedor de TI solicitante.
746 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
8. Auditoras de seguimiento
El certificado tiene una validez de tres aos. A lo largo de los cuales la entidad cer-
tificadora realizar auditoras de seguimiento para comprobar que el sistema de
gestin contina cumpliendo con los requisitos indicados en la norma y que cada
ao el SGSTI se mantiene y mejora dentro del ciclo de mejora continua.
De este modo, transcurrido un ao desde la certificacin, se planifica la primera
auditora de seguimiento (AS1) y, al ao de sta, se planifica la segunda auditora
de seguimiento (AS2).
9. Auditora de renovacin
Una vez cumplidos los 3 aos de validez, la certificacin expira (caduca) y se debe
realizar una auditora de renovacin de la certificacin (muy similar a la auditora
de certificacin fase II).
Tanto en las auditoras de seguimiento como en la de renovacin, tambin se emite
un informe en el que quedan reflejadas las no conformidades o incumplimientos. El
proceso de respuesta a las no conformidades mediante el plan de acciones correctivas
(PAC) se repite, as como, el de evaluacin y decisin.
11. La certificacin de la gestin del servicio de TI conforme a ISO/IEC 20000
11.1. La primera certificacin conforme a ISO/IEC 20000 747
Fuente: AENOR.
Por tanto, las evidencias son el medio por el que se demuestra al resto de la organi-
zacin, a los clientes y a los auditores, el cumplimiento de los requisitos expresados
en la parte 1 de las normas ISO/IEC 20000. Las evidencias tambin demuestran
que se siguen los procesos y procedimientos que integran el sistema de gestin
de TI. El objetivo es poder mostrar de manera fehaciente la orientacin al servicio del
proveedor de TI, as como, el alineamiento con el negocio.
La generacin de evidencias no debe tener como fin satisfacer al auditor. No se
debe olvidar que la auditora ser mucho ms fcil de superar si el sistema de ges-
tin est adecuadamente implantado y afianzado. Cuando las evidencias son pro-
porcionadas por el trabajo diario surgen de forma natural, as, nadie debera estar
pensando en temas como:
ahora toca preparar el informe de seguimiento del proceso porque me lo piden para
la auditora,
decir que sea un listado exhaustivo o excluyente, pero s til, y en algunos casos
suficiente para determinadas organizaciones.
Por tanto, esta relacin no se puede considerar como obligatoria, simplemente pre-
tende ser una ayuda. Ser el auditor, en cada caso, el que determine cules son las
evidencias ms adecuadas para cada situacin. Dado que las evidencias son el modo
por el que la organizacin muestra que tiene control sobre cada uno de los proce-
sos que integran el sistema de gestin, habr que adaptar el nmero y el tipo de
evidencias que se van a recopilar a la realidad de cada organizacin y cmo stas
se asocian a cada proceso.
A continuacin se detallan, para cada uno de los procesos definidos en la Norma
ISO/IEC 20000-1 las evidencias asociadas.
Evidencias para 8.3. Gestin del problema. Establece los soportes en los que
registrar problemas, adems de la documentacin asociada al mismo.
BD de problemas. Recoge los problemas identificados, proporcionando
informacin del estado en que se encuentran.
Documentacin de la resolucin asociada al problema. Accesible por las
lneas de soporte.
Comunicacin entre la gestin del incidente y del problema.
Normativa
UNE-ISO/IEC 20000-1:2007 Tecnologa de la informacin. Gestin del servicio.
Parte 1: Especificaciones.
UNE-ISO/IEC 20000-2:2007 Tecnologa de la informacin. Gestin del servicio.
Parte 2: Cdigo de buenas prcticas.
UNE-ISO/IEC 17021:2006 Evaluacin de la conformidad. Requisitos para los
organismos que realizan la auditora y la certificacin de sistemas de gestin.
UNE-ISO 10005:2005 Sistemas de gestin de la calidad. Directrices para los planes
de la calidad.
UNE-ISO/IEC 17799:2002 Tecnologa de la informacin. Cdigo de buenas prc-
ticas para la Gestin de la Seguridad de la Informacin.
UNE-ISO/IEC 27001:2007 Tecnologa de la informacin. Tcnicas de seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
UNE 71044:1999 Tecnologa de la informacin. Procesos del ciclo de vida del soft-
ware.
UNE-EN ISO 9001:2008 Sistemas de gestin de la calidad. Requisitos.
ISO/IEC 15288:2008 Systems and software engineering System life cycle processes.
ISO/IEC 15504-1:2004 Information technology Process assessment Part 1: Con-
cepts and vocabulary.
ISO/IEC 15504-2:2003 Information technology Process assessment Part 2: Per-
forming an assessment.
ISO/IEC 15504-3:2004 Information technology Process assessment Part 3:
Guidance on performing an assessment.
ISO/IEC 15504-4:2004 Information technology Process assessment Part 4: Gui-
dance on use for process improvement and process capability determination.
ISO/IEC 15504-5:2006 Information technology Process Assessment Part 5: An
exemplar Process Assessment Model.
766 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
Activo (Asset): Componente de un servicio de TI. Los activos pueden incluir per-
sonas, alojamiento, sistemas de ordenadores, redes, registros manuales, fax, etc.
Acuerdo de nivel de servicio (SLA): Un acuerdo escrito entre el proveedor de
servicio y cliente, que documenta niveles de servicio acordados por un servicio.
Acuerdos de colaboracin operacional (OLA): Un acuerdo interno que da
cobertura a los servicios que soporta la organizacin de TI en su prestacin
de servicios al cliente.
Anlisis del impacto (impact analysis): La identificacin de procesos de negocio
crticos, y el dao potencial o la prdida que se puede causar a la organizacin
como resultado de una interrupcin a estos procesos.
Anlisis del riesgo: La identificacin y evaluacin del nivel (medida) de los ries-
gos, calculado a partir del valor de los activos y de los niveles evaluados de ame-
nazas y vulnerabilidades a los que estn expuestos dichos activos.
Autoridad de cambios (Change authority): Grupo al que se delega autoridad de
aprobacin de los cambios, por ejemplo por un comit de proyectos. Algunas
veces tambin se le conoce como comit de configuracin.
Base de datos de la gestin de la configuracin (CMDB): Una base de datos
que contiene todos los detalles relevantes de cada CI y detalles de relaciones
importantes entre los CI.
Biblioteca de software: Una coleccin controlada de CI software designada para
mantener juntos esos que tienen estados o gneros similares y segregados de
esos que no se parecen, para ayudar en desarrollo, operacin y mantenimiento.
Biblioteca de software definitivo (DSL): Repositorio en el que se almacenan y
protegen las versiones autorizadas definitivas de todos los CI software. Se trata
768 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
entrega delta contendr slo aquellos mdulos que hayan sido modificados o
renovados desde la ltima entrega.
Error conocido (KE, Known Error): Aquel incidente, o aquel problema, cuya causa
raz se conoce y para la que se ha identificado un arreglo provisional o una alterna-
tiva permanente. Ante un caso con impacto en el negocio se realizar una solicitud
de cambio (RFC), pero siempre seguir considerndose como error conocido
hasta su solucin permanente mediante el correspondiente cambio.
Estructura de la configuracin (Configuration structure): Jerarqua de todos
los CI que conforman una configuracin.
Externalizacin: El proceso mediante el cual las funciones realizadas por la orga-
nizacin son contratadas externamente para la operacin por terceros en nom-
bre de la organizacin.
Funcin de negocio (Business function): Una unidad de negocio en la organiza-
cin, por ejemplo, un departamento, divisin, oficina, etc.
Gestin de la configuracin (Configuration management): Proceso que se
ocupa de la identificacin y definicin de los CI de un sistema, registrando e
informando sobre el estado de los CI y las RFC (solicitudes de cambio), y veri-
ficando la exactitud y correccin de dichos CI.
Gestin de nivel de servicio (Service level management): El proceso encargado
de definir, acordar, documentar y gestionar los niveles de servicio al cliente,
segn sus requerimientos y con unos costes justificados.
Gestin de servicios (Service management): Gestin de los servicios segn los
requisitos del cliente.
Gestin del cambio (Change management): Proceso de control de los cambios
de cualquier aspecto de los servicios, o en la infraestructura, de un modo con-
trolado, permitiendo llevar a cabo los cambios aprobados con el mnimo
impacto en el servicio.
Gestin del coste (Cost management): Todos los procedimientos, tareas y entre-
gables necesarios para satisfacer el coste de una organizacin y los requerimien-
tos de precio.
Herramienta de gestin de la configuracin (Configuration management tool):
Un producto software que proporciona asistencia automatizada para el control
de cambios, configuracin y versiones.
Hoja de especificaciones (SS, SpecSheet): Especifica detalladamente lo que el
cliente quiere (externo) y que consecuencias tiene para el proveedor de servicio
(interno), como recursos requeridos y habilidades.
772 ISO/IEC 20000. Gua completa de aplicacin para la gestin de los servicios de tecnologas de la informacin
de una interrupcin del negocio y de las posibles prdidas que pueda ocasionar
dicha interrupcin.
Rol (Role): Una serie de responsabilidades, actividades y autorizaciones.
Servicios (Services): Entregables de la organizacin de servicios informticos que
son percibidos por los clientes; los servicios no consisten simplemente en hacer
disponibles los recursos de ordenadores para el uso de los clientes.
Sistema (System): Conjunto integrado de uno o ms procesos, hardware, software,
utilidades y personal, que proporciona la capacidad de satisfacer una necesidad
o un alcanzar objetivo determinado.
Solicitud de cambio (RFC, Request For Change): Formulario o pantalla usada
para registrar los detalles de una solicitud para un cambio a cualquier CI dentro
de la infraestructura o para procedimientos y elementos asociados con la infraes-
tructura.
Solucin temporal (Workaround): Mtodo para evitar un incidente o un pro-
blema, bien mediante un arreglo provisional o mediante una tcnica que impli-
que que el cliente no dependa de un aspecto especfico del servicio del cual se
sepa que presenta un problema.
TIC (ICT) / TI (IT): La convergencia de Informacin Tecnolgica, Comunica-
ciones y Datos.
Unidad de negocio: Una divisin de una entidad de negocio en la que los ingre-
sos son registrados y los gastos incurridos se controlan, de forma que los ingre-
sos y gastos se usan para evaluar el rendimiento de la divisin.
Urgencia (Urgency): Medida de la criticidad para el negocio de un incidente o
un problema, basada en su impacto sobre las necesidades de negocio de los
clientes.
Usuario (User): La persona que utiliza los servicios de manera habitual.
Usuario final (End-User): Vase Usuario.
Versin (Version): Elemento identificado de un CI, dentro de la estructura des-
glosada de un producto o en la estructura de configuracin, que sirve de refe-
rencia para el seguimiento y auditoria del historial de cambios. Tambin se uti-
liza en los SCI, definindose una referencia especfica en el desarrollo para el
diseo, revisin, modificacin, pruebas o produccin.
Versin completa (Full release): Todos los componentes de la unidad de entrega
que se desarrollan, prueban, distribuyen e implementan a la vez. Vase tambin
versin delta.
Trminos y definiciones 775
Versin delta (Delta release): Una versin delta o parcial, es aqulla que sola-
mente incluye los CI de la unidad de entrega que se hayan modificado o reno-
vado desde la ltima entrega completa o parcial (delta). Por ejemplo, si la uni-
dad de versin es el programa, una versin delta contendr solo aquellos
mdulos que hayan sido modificados o renovados desde la ltima entrega com-
pleta del programa o desde la ltima versin delta de determinados mdulos.
Vase tambin Versin completa.